Парни есть в PHP-nuke руспатч 3,0 в файле mainfile.php
вот такой код
------------------------------------------------
$queryString = strtolower($_SERVER['QUERY_STRING']);
if (stripos_clone($queryString,'%20union%20') OR stripos_clone($queryString,'/*') OR stripos_clone($queryString,'*/union/*') OR stripos_clone($queryString,'c2nyaxb0')) {
header("Location: index.php");
die();
------------------------------------------------

как я понимаю тут и идёт фильтрация на то , что ввёл в строку браузера user...
Т.е. если введено %20union%20 /* */union/*
c2nyaxb0 то тебя перекидывает на индекс.пхп
Но я думаю , что всё равно можно ломануть как-то ...
А как ???
Выскажите мнения плз