Se cerchi su internet trovi molte guide su questi problemi di sicurezza.(è un discorso abbastanza lungo)
La più preoccupante è sicuramente la SQLinjection, con cui possono manipolare le query eseguite e quinndi virtualmente fare qualsiasi cosa sul DB.
La seconda invece permette di inserire attraverso l'url codice javascript nella pagina e quindi possono rubare informazioni a utenti che non sono attenti e cliccano sul primo link che arriva.