применяется этот вид атаки, когда текст из базы данных выводится в HTML страницу. если попытаться использовать классические или продвинутые SQL инъекции можно получить информацию о SQL сервере и ничего более.
подробно об этом написано здесь: http://www.securitylab.ru/analytics/216380.php
заметь, не всегда можно инъекцию раскрыть (примеров полно: ( mysql 4 ветки и file_priv отключено), или конфигурация базы данных запрещает доступ к файлам, и т.д.). и тут находится уязвимый запрос, выводящий запрошенную страничку из базы данных

альтернативно применяется в тех случаях, когда кроме самой SQL injection, мы не можем ни подобрать имена таблиц (не у всех стоит, например, MySQL >5 с INFORMATION_SCHEMA), ни сделать, например, вывод в файл (masterhost)

а вот использовать XSS уязвимость для проведения DDoS атаки, действительно глупо.