Buff, ni idea, aveces ocurre que tu web tiene algun error y si no lo configuras bien sale parte de la sentencia MYSQL y pueden adivinarte algun nombre de tabla y campos, pero no se..... soy 0 experto en ataques, y muy poco en defensa jeje.

Por cierto, justo con lo que te dije de reemplazar 'concat_' por 'concat-' te podias haber defendido de ese ataque que te hicieron.