Да, если alert срабатывает, то скрипт не фильтрует вводимые данные. Но если запрос передается через POST-запрос, то для эксплуатации надо будет применять разные методы, чтобы заставить жертву выполнить нужный тебе запрос. Т.е. чтобы жертва сама ввела в поиск вредноносный код и нажала энтер для его выполнения. Поправьте меня, если я ошибаюсь.

[offtop] Мой 1000-й пост [/offtop]