不能控制insert的字段名,并且insert没有返回值(?) 这里利用了分号切割sql语句,不能通过;闭合sql语句的方式构造RCE 这里阅读文档, postgresql允许在insert或者update后选择一个或多个字段返回, 所以在这里就有可控字段名了, 使用格式insert into xx(aa,bb) values('cc','dd') returning ee as ff; 最后就是构造...