Drupal - один из самых секурных движков, sql-инъекции можешь даже не искать там, если только в каких-то модулях, да и то, врядли что найдешь.

а по ссылке там только раскрытие путей из-за отрицательного значения переменной, скули нет, интвалится все.

.org/node?from=-1lalalallalalalalaaaa