La frase SQL se ve así,
"SELECT * from XX where id = '" + id + "'"
La variable id viene directamente del parámetro GET denominado id
.
Y la aplicación web de Java no permite explícitamente comillas simples. Si se encontró una comilla simple en ese parámetro, el servidor deja de procesarlo de inmediato y devuelve un error.
Entonces, ¿esto es aún explotable? Con entorno postgresql y tomcat.