Lo que estás haciendo depende de dos cosas que suceden
- Puede cargar javascript en el almacén de datos donde el usuario procesará ese javascript.
- Cuando el navegador del usuario representa ese JavaScript, en realidad se ejecuta.
Se supone que los desarrolladores deben verificar la entrada para ver si hay cosas malas, asegurarse de que la entrada esté codificada en html y rechazar las cosas malas como el marcado. Por otro lado, el desarrollador debe asegurarse de que todo lo que haya ingresado a la base de datos se haya procesado de manera inofensiva.
El hecho de que puedas obtener javascript en la base de datos me dice que los desarrolladores no hicieron un buen trabajo para verificar la entrada y necesitan corregir eso . Nunca he conocido a alguien que tenga etiquetas html en su nombre :)
El hecho de que no se ejecute en el otro lado me dice que el marco que utilizan probablemente codifica la salida, por lo que en la mayoría de los casos se procesa de manera inofensiva. Estoy dispuesto a apostar si realmente te esfuerzas, puedes codificar tu javascript de manera que puedas ejecutarlo. Debe asegurarse de marcar todas las entradas y todas las salidas . Las herramientas automatizadas son buenas y todas, pero son solo un punto de partida.
¡Espero que esto ayude!