Если логить не только GET, но еще куки и POST, то видно все, что передает пользователь, не считая такой экзотики как SQL-инъекции в Юзер-агенте или X_forwarded_For, хотя по-мойму лучше всего просто напросто логить вообще весь запрос целиком, тогда от взора админа вообще ничего из HTTPшных атак не уйдет.