HIER wird ganz gut erklärt wie mächtig eine solche Lücke sein kann...
https://www.youtube.com/watch?v=L5l9lSnNMxg
Und wie solche Lücken normalerweise entstehen. Dem User gleich ein Script-Tag in die Hand geben ist natürlich einfacher...