Рекомендуем почитать:
Xakep #305. Многошаговые SQL-инъекции
Программа: Google API Search Engine 1.3.1, возможно более ранние версии
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует при обработке входных данных в параметре "REQ". Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольный HTML код в браузере жертвы в контексте безопасности уязвимого
сайта.
Пример:
/index.php?REQ=%3Cscript%3Ealert('r0t%20XSS') %3C/script%3ESubmit=Submit