örneğin url i filtrelemeden koydunuz diyelim adam siteniz.com/x.php?olmayanvariable=<script>ajax();</script>&bla

derse hem cookie nizi çalabilir hem ajax ile admin yada kullanıcı panelinize veri post edebilir sizin cookienizle vs. vs. htmlspecialchars(); şiddetle önerilir