Da diese Tutorial in Englisch verfasst wurde, wird es hier wohl nicht sehr Feedback bekommen.
Eigentlich gibt es schon genügen Tutorials über das Ganze aber dennoch schon zusammen gefasst auch wenn nichts neues dabei ist.

$ 2.) HEX encoding is a useful bypass method, too. Using this step will encode
$ your script, so you can't see what the code will cause.
$ This is how

<script>alert(/turtles/);</script>

$ looks like encrypted in HEX:

www.site.ru/google.php?search=%3C%73%63%72%69%70%74%3E%61%6C%6 5%72%74%28%2F%74%75%72%74%6C%65%73%2F%29%3B%3C%2F% 73%63%72%69%70%74%3E

$ (note: i used "/turtles/" (without quote sign) because just "turtles" didn't work).
Um es gleich richtig zu machen alert(/turtles/.source); damit man auch wirklich nur turtles in der Alertbox stehen hat.