回答1：
虽然有些网站会感谢你找到漏洞，还会送礼，但是这个确实违法的。以前就有腾讯起诉发现漏洞的白帽子的例子，被判5年，最近还有世纪佳缘以送礼为由诱捕白帽子的新案子。不管你发现漏洞后做了什么，现在法律只有规定非法入侵计算机的罪，并没有所谓入侵不做坏事的规定。既然是SQL注入或者XSS攻击，就肯定不是无意发现的漏洞，属于非法故意入侵计算机罪，是刑事犯罪，如果对方追究的话肯定要坐牢。

回答2：
如果没有造成严重后果，情节轻微，可以免予刑事处罚。

请个辩护律师为你辩护。