BAGIR, при чем тут удобство. Наоборот, get-запросами удобно манипулировать, когда делаешь sql-инъекцию, а вот xss, это когда, например, в форму пишешь вредоносный яваскрипт. Например можно написать js, который будет под сообщениями пользователя будет скрывать скрытый див со свойством display : none, и в этом диве будут отображаться содержимое кук пользователя - пароль или его хеш, логин. XSS, это в первую очередь кража информации со стороны клиента, а не сервера.
Изменил: Олег (25.02.2010 / 20:05)