Si nota esaminando la pagina web che viene stampata una variabile passata come parametro nellâurl. Lo si può vedere anche nel codice sorgente PHP (ma è possibile vedere il codice sorgente durante lâattacco o è solo una semplificazione??).
Debolezza: riflessione dellâinput.
Si prova ad inserire un codice malizioso di esempio:
<script>alert(1)</script>
Si nota che il codice inserito viene eseguito dalla pagina.