Naja Soweit geh ich gar nicht.

Ich sehe diese Lücken (Erfahrungswerte), man ändert im Grunde nur die "Url" oben im Browser um.

Dies ist nicht Strafbar, man erkennt ja wie sich das script verhält nach dieser Eingabe.
Und so erkenne ich, wo die Lücken vorhanden sind, das neue Forum ist von Sqli befreit. Auf XSS teste ich es bei gelegenheit.