Cita:
Iniciado por pateketrueke 
Y ese es el problema.
Imagina que te paso algo así: script.php?x=<script>alert(document.cookie)<%2Fscr ipt>
Y en tu script "sólo imprimes" inocentemente:
¿Qué crees que sucedería?
Los ataques de XSS se producen en el navegador, cuando precisamente no se tiene cuidado con lo que se imprime.
¿Eso que propones que debilidad daría? Eso lo vería el mismo atacante, ¿pero que ve?, datos de cookie, ¿y de quienes son esas cookies? del mismo atacante. Ya que ese script se le ejecutaría al mismo atacante, y no a otra persona.
Vamos, yo puedo entrar en una web, desde mi navegador y modificarla desde el navegador, con firebug u otras herramientas. Y también puedo leer los datos almacenados de las cookies en mi navegador, con un poco de astucia. Sin necesidad de atacar a la pagina con XSS.