توضیح عملکرد حملات xss

با سلام
دوستان من واسم یه سوال پیش اومده نمیتونم حلاجیش کنم
سوال در مورد حملات xss هست

فرض کنید ما یه فرم داریم به شکل زیر

<body>
<?php
if (isset($_GET['par1']) && !empty($_GET['par1']))
{
echo $_GET['par1']."<br>";
}
if (isset($_GET['par2'])&& !empty($_GET['par2']))
{
echo $_GET['par2']."<br>";
}
if (isset($_GET['par3']) && !empty($_GET['par3']))
{
echo $_GET['par3']."<br>";
}
?>
<form action="<?php echo $_SERVER['PHP_SELF'];?> ?>" method="get" >
input 1: <input type="text" name="par1">
<br>
input 2: <input type="text" name="par2">
<br>
input 3: <input type="text" name="par3">
<input type="submit" value="send">
</form>
</body>

حالا هکر ما میاد و در تکس باکس کد جاوا اسکریپت مثل زیر یا هر کدی دیگه ای تزریق میکنه

<script>alert('hi');</script>

خوب این چه ربطی یا خطری واسه کاربر بوجود میاره

هر چی که وارد کنه رو سیستم خودش اجرا میشه

این alert یا هر کدی را فقط خود کاربر می‌بینه . چه خطر امنیتی داره؟؟؟

یا اینکه ما در قسمت اکشن کد زیر بدون استفاده از htmlentities نوشتیم ، این روش بدون استفاده از htmlentities چه خطری برای ما ایجاد میکنه

action="<?php echo $_SERVER['PHP_SELF'];?>

من این حمله xss رو اصلا نمیفهمم
میشه یکی خوب توضیح بده

- - , .