url中的sql查询是做什么的?

c86crjj0  于 2021-07-24  发布在  Java
关注(0)|答案(1)|浏览(331)

我试图理解url中的sql查询是做什么的。
http://thewebsite.com/supplierweb/login.jspstatus=3&wfer=4486 和1=1 union all select 1,null,'',table_name from information_schema.tables where 2>1--/**/;exec xp\u cmdshell('cat../../../etc/passwd')#
请告知

omvjsjqw

omvjsjqw1#

正如impaler所指出的,这是sql注入的一个令人讨厌的意图。通过做 AND 1=1 UNION ALL 查询的其余部分可以执行。
它将尝试获取数据库表的信息模式。然后,它将尝试执行linux/unix命令,以获取可能包含系统中用户名和密码的文件。

相关问题