Уязвимости появляются при взаимодействии двух синтакс. так сказать
Например PHP+HTML, PHP+SQL, PHP+PHP...
В основном они появляются изза недостаточной фильтрации скриптом вводимых данных.
Ты знаешь в PHP ф-ию ereg_replace, preg_replace и т д?
Эти ф-ии для работы с рег. выражениями.
Чтобы например тег на форуме [сolor=red]ТЕКСТ[/сolor]
парсился (преобразовывался) в <span style='color:red>ТЕКСТ</span>
XSS - это вообще вставка скрипта в HTML. Обычно скрипт пересылает куки на снифер.
Снифер на другом сайте. Отсюда и XSS (Cross Site Scripting, межсайтовое скриптование)

Читай книги по PHP