Um bei diesem konkretem Beispiel zu bleiben:
<form action="foobar.php?id=<?php echo urlencode($_GET['id']); ?>">

Was muss man da jetzt übergeben damit irgendwas kaputt geht?

In diesem spezielle Fall nichts, da alle für HTML markupspezifischen Zeichen ohnehin kodiert werden und das Ergebnis keine entsprechenden Zeichen mehr enthalten kann, da das Resultat immer aus %-Zeichen, Dezimalziffern und ggf. +-Zeichen besteht.

Das ist eine Fall-zu-Fall-Entscheidung - mir ging es jetzt eher darum, vollständig aufzuführen, welche Kontextwechsel hier überhaupt stattfinden - dass einer dieser in diesem speziellen Fall keiner besonderen behandlung bedarf, heißt aber nicht, dass er nicht da ist.

Eine andere Möglichkeit wäre z.B. ein simples intval() um die ID - das wird im Zweifel dann zu 0 gecastet (bzw. so einer Ganzzahl wobei der rest abgeschnitten wird).