Cita: si tu me pasas un XSS, y lo que quieras, ¿si el GET no hace otra cosa más que imprimir?
Y ese es el problema.
Imagina que te paso algo así: script.php?x=<script>alert(document.cookie)<%2Fscr ipt>
Y en tu script "sólo imprimes" inocentemente:
¿Qué crees que sucedería?
Los ataques de XSS se producen en el navegador, cuando precisamente no se tiene cuidado con lo que se imprime.