Lo que tu dices, estas equivocado, lo que si pueden hacer, es si yo por ejemplo, pillo la id de otro usuario de tu web, y la escribo en la barra:

http://tusitio.com/login.php?id=123 (en caso de que sea asi)

Yo sin ser ese usuario, podria acceder a su perfil o informacion. Pero ya te digo, que solo si coincide en tu estructura.