non avevo capito che quello da te indicato era l'url da digitale perchè si verificasse il XSS.

indipendentemente dalla querystring il XSS ha successo perchè la querystring in qualche modo viene stampata a video tramite echo. Non conoscendo il codice di login.php è difficile capire come...

da quel che ho capito a te interessa filtrare parametri di querystring in cui manca il parametro a destra dell'=.

se non c'è l'=, ad esempio

login.php?a=10&stringavuota

avrai:

$_GET['a']="10"
$_GET['stringavuota']=""

lo verifichi facilmente col seguente codice:

Codice PHP:
<?php
  
 foreach ($_GET as $key => $value)
  echo $key."=".$value."
";
 
?>

Ti sposto su PHP.