да такой скрипт и правда есть пример на чате
http://chat.hitv.ru/users.php
так же там есть xss
<script>alert();</script> -ок
<script>alert(123);</script> - ок
<script>alert(as);</script> - уже не ок
<script>alert('as'
;</script>- тут интереснее
database error: cannot search user
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'as'
;%'' at line 1
кажется возможен sql-injection хотя не буду утверждать
+ это же скрипт поиска а не инфы ,ты несможешь сохранить свой ява скрипт и показать его ламеру чтобы перехватить его сессию
в общем смотрите ; ) я зайду еще
удачи