Rien qu'en introduisant du Javascript ou du PHP tu peux défigurer le site voire même faire des dégats avec des requêtes SQL...
ou faire des petites blagues (fermer, redimensionner les fenêtres, afficher des pop-up...etc)
Après, je suis pas forcément compétent là dedans, il doit y avoir plus "intéressant" à faire.
Mais bon, mieux vaut que ça soit corrigé en fait !