Текущият линк те това (nap.bg/search?searchText=<SCRIPT>alert('Данъци? Айде догодинa.');</SCRIPT>) (ако не работи през анкор) е прекрасен пример за string concatenation-a, за който Ники ни обясняваше в лекцията за Security. МОН също пострадаха от "хакерска" атака...

Edit: Мисля, че не става с събиране на стригове, то си е направо JS в input...