このコードがある場合:
query.php:
$secret = 'This should not be displayed';
$id = mysql_real_escape_string($_GET['id']);
try {
mysql_query("SELECT * FROM USERS WHERE USER_ID = '$id'");
}
catch(Exception $e) {
echo "Could not execute" . "SELECT * FROM USERS WHERE USER_ID = '$id'";
}
$ idは適切にエスケープされているため、クエリにコードを挿入することはできませんが、例外処理部分のエコーのために、 GETquery.php?id=$secret
で変数の内容がエコーされるのではないかと思います。$secret