Кто-нибудь помнит взлом chat.mail.ru в конце 2002-го годв? Было клево) Суть уязвимости сейчасне помню, потому что не я ломал, да и комп у меня только -только в то время появился, но суть короче говоря сводилась к вставке перед цветом #000000 символа '. Заходишь с таким цветом '#000000, и в форму отправки сообщений кидаешь ЛЮБОЙ скрипт(без тэга).. к примеру вот так:  alert();. При этом простые сообщения не проходили. Как только тот чел не извращался)