Ako se ne varam, posaljes zahtev skripta.php?nesto=<script>bla bla bla</script> (naravno, url-encoded), a u skripti se (kao pomoc prilikom debugovanja) nalazi var_dump($_GET), tako da browser automatski izvrsi skriptu prosledjenu kao request.
Ovo je samo pojasnjen primer, najprostije bi bilo da imas guestbook na sajtu, i da ne escapujes html prilikom ubacivanja istog u bazu ili ispisa (da zanemarimo sql injection ovom prilikom). Znas sta bi posle bilo.
Jesam li u pravu?