http://qps.ru/7mXtq Ройте в сторону XSS
Полно инфы - если вы на серве проверяете всте тексты на наличие тега script либо исполняемых атрибутов тегов(либо вообще не принимаете HTML текстов от пользователя) и не встраиваете тексты в свои скрипты - что может угрожать ?