Je te lie et franchement on dirait un fou qui écrit. Reprend ton souffle sérieux ^^. Ton comportement dénote de peu d'expérience déjà sur l'ordre de tes questions, amoncelées les unes sur les autres.

Tu mélanges tout à la fois. Pour faire simple, une XSS reflected (non persistante) ne permet pas grande chose en soi, à part la redirection d'URL qui si elle fonctionne amènera la victime sur ton lien.

La BDD est régie par son propre langage et ses propres chaînes de vulnérabilité comme le SQL, cependant une XSS stored (persistante) ne jouera pas non plus sur elle sauf pour les injections avancées de type XSS-SQL ou XSS/PHP qui vont en quelque sorte extraire à l'aide d'une reflected ou d'une stored les user pass à l'aide d'une part une faille de type SQLi et d'autre part de script préétabli utilisant l'XSS pour l'exploiter subtilement.

Le code JS ne vas pas s'inscrire sur ta BDD puisqu'il ne permet en fait d'agir que sur l'environnement auquel on l'attribue : le navigateur,cookies,... et certainement pas sur la BDD.
Donc, en aucun cas tu n'aura grâce à du JS la possibilité de travailler sur une base directement.

Je ne vais pas m'évertuer à écrire un ènième tutoriel pour t'expliquer (plus de temps pour ça). Je pense que la plupart de tes questions ont été traité dans ma réponse.

ah merci pour t'as réponse ^^'