Я слышал, что если у сайта очень слабая защита то в input на сайте можно что то вставить и тем самым получить возможность вшивать скрипты написанные на JS, Python и так далее. Если это правда, то что нужно вставить?
Тег скрипта. Например, <script>alert("Лол, джаваскрипт выполнился!"</script>.
Если сайт не экранирует спецсимволы HTML при выводе данных на страницу, то впихнет туда ваши теги, которые браузер послушно интерпретирует.