1
00:00:00,000 --> 00:00:09,250

2
00:00:09,250 --> 00:00:10,300
>> LUCIANO ARANGO: موافق، والرجال.

3
00:00:10,300 --> 00:00:11,550
اسمي لوتشيانو أرانغو.

4
00:00:11,550 --> 00:00:13,915
أنا طالبة في البيت آدمز.

5
00:00:13,915 --> 00:00:17,550
ونحن في طريقنا إلى أن نتحدث عن
الدفاع الأمن على شبكة الإنترنت النشطة.

6
00:00:17,550 --> 00:00:24,220
لذلك أنا أعمل لمكتب الإعلام
الأمن في البحار.

7
00:00:24,220 --> 00:00:28,670
وخلال فصل الصيف، وأنا المعتقلين في
SeguraTec، الذي كان المعلومات

8
00:00:28,670 --> 00:00:31,310
شركة أمنية التي خدمت
للبنك كولومبيا.

9
00:00:31,310 --> 00:00:34,740
وهذا في الغالب حيث تعلمت
ما تعلمت حتى الآن.

10
00:00:34,740 --> 00:00:37,990
>> وحتى بعض من المواد التي نحن
سوف يذهب أكثر من اليوم، ليس لدينا

11
00:00:37,990 --> 00:00:39,670
تحدث حقا عن في الصف.

12
00:00:39,670 --> 00:00:40,410
ولكننا قريبا.

13
00:00:40,410 --> 00:00:42,360
انها سوف تكون مثل SQL، وجافا سكريبت.

14
00:00:42,360 --> 00:00:44,870
ونحن لم تسر حقا أكثر من ذلك.

15
00:00:44,870 --> 00:00:47,730
لذلك أنا قد فرز الرحلة من خلال ذلك، و
قد لا يعرف بعض الأشياء.

16
00:00:47,730 --> 00:00:48,890
ولكن سرعان ما، عليك أن تعلم ذلك.

17
00:00:48,890 --> 00:00:52,080
وأنها سوف تجعل كل إحساس.

18
00:00:52,080 --> 00:00:54,010
أيضا شيء آخر -

19
00:00:54,010 --> 00:00:55,780
البقاء الأخلاقية.

20
00:00:55,780 --> 00:01:00,560
بعض الأشياء التي كنت تعلم، كنت
يمكن استخدامها في طرق غير أخلاقية.

21
00:01:00,560 --> 00:01:01,950
>> لو كان لك، حاول بالتأكيد.

22
00:01:01,950 --> 00:01:04,500
أنا بالتأكيد تحفيز يا رفاق
في محاولة الخوادم الخاصة بك، في محاولة

23
00:01:04,500 --> 00:01:05,519
الذهاب داخلها.

24
00:01:05,519 --> 00:01:08,500
نرى ما اذا كان يمكن ان تخترق لهم،
إذا كان يمكنك الحصول داخلها.

25
00:01:08,500 --> 00:01:09,560
ولكن ليس أي شخص آخر.

26
00:01:09,560 --> 00:01:12,390
رجال الشرطة لا أحب النكات و
كله، ونحن نضع هذا هنا.

27
00:01:12,390 --> 00:01:14,040
كنا العبث.

28
00:01:14,040 --> 00:01:15,780
أنها تغضب حقا.

29
00:01:15,780 --> 00:01:18,700
>> حتى رئيس لأكثر من هذا الموقع.

30
00:01:18,700 --> 00:01:23,560
لدي افتتاحه هنا.

31
00:01:23,560 --> 00:01:26,780
هذا هو موقع على شبكة الانترنت، و
لديه مجموعة من الأمثلة.

32
00:01:26,780 --> 00:01:30,000
ما يحدث هو أن المثال الأول
هو نوع من سيكون أسهل كثيرا

33
00:01:30,000 --> 00:01:33,470
من المثال الأخير في الشعور
أن المثال الأول

34
00:01:33,470 --> 00:01:34,970
غير آمن تماما.

35
00:01:34,970 --> 00:01:40,850
وآخر واحد هو نوع من ما
أن الشخص العادي القيام الأمن على شبكة الإنترنت.

36
00:01:40,850 --> 00:01:42,760
ولكن يمكنك لا يزال الفرز
من الالتفاف حول ذلك.

37
00:01:42,760 --> 00:01:44,860
ونحن ذاهبون الى التركيز على واحد
واثنين، والأمثلة واحد واثنين.

38
00:01:44,860 --> 00:01:49,880

39
00:01:49,880 --> 00:01:49,920
>> موافق.

40
00:01:49,920 --> 00:01:52,780
دعونا نبدأ مع البرمجة عبر الموقع.

41
00:01:52,780 --> 00:01:56,100
يتم تشغيل جافا سكريبت على
مستعرض العميل.

42
00:01:56,100 --> 00:01:59,980
انها لغة البرمجة التي تستخدمها
لتشغيلها على مستعرض العميل حتى

43
00:01:59,980 --> 00:02:04,120
لم يكن لديك لتحديث الموقع
ونعود إلى الملقم.

44
00:02:04,120 --> 00:02:04,940
لديك على التوالي.

45
00:02:04,940 --> 00:02:08,870
على سبيل المثال، الفيسبوك، لم يكن لديك
لإعادة تحميل الموقع للحصول على صفة جديدة

46
00:02:08,870 --> 00:02:09,710
تحديثات على الخروج.

47
00:02:09,710 --> 00:02:12,170
انها تستخدم جافا سكريبت لتوليد
كل هذه الأشياء.

48
00:02:12,170 --> 00:02:16,290
حتى نتمكن من حقن جافا سكريبت الخبيثة
في المواقع.

49
00:02:16,290 --> 00:02:20,890
وبهذه الطريقة، عندما نرسل رابط ل
شخص ما، يمكننا أن نوعا من إرساله مع

50
00:02:20,890 --> 00:02:23,050
بعض التعليمات البرمجية التي نريد.

51
00:02:23,050 --> 00:02:26,450
>> هناك الثابتة وغير الثابتة
جافا سكريبت -

52
00:02:26,450 --> 00:02:30,640
الثابتة وغير الثابتة عبر المواقع
البرمجة، أعني.

53
00:02:30,640 --> 00:02:33,760
والفرق هو أن استمرار
هو جافا سكريبت التي ستكون

54
00:02:33,760 --> 00:02:36,060
المحفوظة على الموقع.

55
00:02:36,060 --> 00:02:39,780
وغير الثابتة سوف يكون جافا سكريبت
التي ستكون في الواقع يحدث مرة واحدة فقط.

56
00:02:39,780 --> 00:02:41,795
لذلك دعونا ننظر إلى مثال
حقيقية سريعة.

57
00:02:41,795 --> 00:02:45,660

58
00:02:45,660 --> 00:02:46,130
>> موافق.

59
00:02:46,130 --> 00:02:51,620
لذلك هذا الموقع، بسيطة،
لا شيء يحدث هنا.

60
00:02:51,620 --> 00:02:53,070
ونحن في طريقنا إلى محاولة ل
إدراج بعض جافا سكريبت.

61
00:02:53,070 --> 00:02:58,110
وبالتالي فإن الطريقة نبدأ كتابة جافا سكريبت
ونبدأ مع بداية النصي.

62
00:02:58,110 --> 00:03:00,570
ونحن إغلاقه مع النصي.

63
00:03:00,570 --> 00:03:03,770
نحن ببساطة الذهاب الى وضع رسالة -

64
00:03:03,770 --> 00:03:05,410
سأريكم -

65
00:03:05,410 --> 00:03:06,500
حالة تأهب.

66
00:03:06,500 --> 00:03:11,150
تنبيه هي وظيفة أن جافا سكريبت
يستخدم لعرض شيء.

67
00:03:11,150 --> 00:03:12,400
لذلك دعونا نحاول حقيقية سريعة.

68
00:03:12,400 --> 00:03:15,600

69
00:03:15,600 --> 00:03:18,944
انا ذاهب للذهاب، مرحبا حالة تأهب.

70
00:03:18,944 --> 00:03:20,400
حسنا، أنا نسيت أن تضع -

71
00:03:20,400 --> 00:03:24,510

72
00:03:24,510 --> 00:03:25,460
موافق.

73
00:03:25,460 --> 00:03:26,540
بحيث بسيطة.

74
00:03:26,540 --> 00:03:28,730
>> نضع جافا سكريبت على موقع على شبكة الانترنت،
وخرجت.

75
00:03:28,730 --> 00:03:31,200
وذلك نوع من يحدث فقط
على موقعنا على الانترنت، أليس كذلك؟

76
00:03:31,200 --> 00:03:33,040
لذلك يبدو انها ليست
مشكلة، أليس كذلك؟

77
00:03:33,040 --> 00:03:34,920
أعني، كيف يمكن أن تستخدمها
هذا ضار؟

78
00:03:34,920 --> 00:03:39,930
وبالتالي فإن الطريقة التي تفعل المتسللين
هذا هو حقا بسيطة.

79
00:03:39,930 --> 00:03:40,970
انهم ذاهبون للاستيلاء عليها.

80
00:03:40,970 --> 00:03:43,750
يمكن أن ترسل هذا الرابط لك.

81
00:03:43,750 --> 00:03:46,780
إذا أنا أرسل لك هذا الرابط في الوقت الراهن،
وقمت بفتح الامر، انه سيكون ل

82
00:03:46,780 --> 00:03:51,620
ويقول، مرحبا، معتبرا أن موقع الويب الخاص بي
أقول لك مرحبا.

83
00:03:51,620 --> 00:03:57,280
>> وحتى إذا كان لي أن أقول شيئا ل
أذكى قليلا، وإذا كنت سحب ما يصل إلى

84
00:03:57,280 --> 00:03:59,880
جافا سكريبت وظيفة النوع الأول
من كتب بالفعل -

85
00:03:59,880 --> 00:04:03,940
ولكن إذا نظرتم اليها، سأذهب
أكثر من ذلك قبل أن كتبوه.

86
00:04:03,940 --> 00:04:06,650
لذلك نحن ذاهبون لتعيين المهلة.

87
00:04:06,650 --> 00:04:08,450
نحن ذاهبون الى الانتظار ل
بضع ثواني.

88
00:04:08,450 --> 00:04:13,970
في الواقع، نحن ذاهبون الى الانتظار ل، إذا
لم أكن مخطئا، لمدة خمس ثوان.

89
00:04:13,970 --> 00:04:15,870
هذا ينطبق في ميلي ثانية.

90
00:04:15,870 --> 00:04:18,640
ثم ما نحن بصدد القيام به هو نحن
الذهاب لتنبيه أن تسجيل الدخول

91
00:04:18,640 --> 00:04:21,459
مهلة لتسجيل تكبير الخريطة.

92
00:04:21,459 --> 00:04:23,990
ونحن في طريقنا لتغيير موقع
إلى موقع مختلف.

93
00:04:23,990 --> 00:04:30,370

94
00:04:30,370 --> 00:04:32,970
>> حتى لو كنت ترسل هذا الموقع لشخص ما،
انهم ذاهبون ليكون

95
00:04:32,970 --> 00:04:34,380
تصفح حولها، والهدوء.

96
00:04:34,380 --> 00:04:35,650
لا شيء يحدث.

97
00:04:35,650 --> 00:04:38,550
وخلال خمس ثواني، انها تسير
أن أقول، توقيت دخولك بها.

98
00:04:38,550 --> 00:04:40,200
يرجى تسجيل الدخول تكبير الخريطة.

99
00:04:40,200 --> 00:04:43,400
بمجرد انقر فوق موافق، وانا ذاهب ل
نقلهم الى موقع آخر.

100
00:04:43,400 --> 00:04:45,980
ويفترض، في الموقع الذي يجري ل
تكون مشابهة لموقع الويب الذي

101
00:04:45,980 --> 00:04:47,280
كانوا في السابق.

102
00:04:47,280 --> 00:04:50,770
وانهم ذاهبون لتسجيل بهم
أوراق الاعتماد إلى موقع الويب الخاص بي بدلا من

103
00:04:50,770 --> 00:04:51,850
موقعه على الانترنت.

104
00:04:51,850 --> 00:04:54,780
>> وحتى أتمكن من إرسال الناس ل
بريد إلكتروني مع هذا الرابط.

105
00:04:54,780 --> 00:04:56,240
أقول، يا، وهنا الارتباط.

106
00:04:56,240 --> 00:04:57,290
وهذا هو أحد البنوك، على سبيل المثال.

107
00:04:57,290 --> 00:05:01,390
أقول، هنا، اذهب على هذا الرابط.

108
00:05:01,390 --> 00:05:03,730
وبمجرد إرسالها، وانهم
ستكون تصفح حولها.

109
00:05:03,730 --> 00:05:07,560
لا أستطيع الانتظار لمدة 15 ثانية، 20 ثانية،
ثم البوب ​​التي يرجى تسجيل الدخول مرة أخرى في

110
00:05:07,560 --> 00:05:08,840
التوقيع مرة أخرى.

111
00:05:08,840 --> 00:05:10,120
يا رفاق أن تجرب ذلك مع
الكثير من الأشياء.

112
00:05:10,120 --> 00:05:13,190
معقدة لأنك الرجال
لم أر جافا سكريبت، لذلك قد

113
00:05:13,190 --> 00:05:14,750
لا يعرف بعض الوظائف.

114
00:05:14,750 --> 00:05:18,625
ولكن كل ما عليك القيام به هو بداية
مع النصي، تنتهي النصي.

115
00:05:18,625 --> 00:05:22,105

116
00:05:22,105 --> 00:05:25,510
وكنت قد وضعت أي شيء
في الوسط.

117
00:05:25,510 --> 00:05:27,350
>> التنبيه وظيفة، انتظر.

118
00:05:27,350 --> 00:05:29,365
نافذة موقع يأخذك
إلى موقع جديد.

119
00:05:29,365 --> 00:05:31,370
ولكن يمكنك أن تفعل أكثر من ذلك بكثير.

120
00:05:31,370 --> 00:05:32,630
وبالتالي فإن الفكرة هي أن
نحن نأخذ ذلك الخروج.

121
00:05:32,630 --> 00:05:39,350
اذا ذهبت الى اثنين سبيل المثال، وأنا
وضعت في هذا الرمز نفسه، انها

122
00:05:39,350 --> 00:05:40,210
لن يعمل.

123
00:05:40,210 --> 00:05:43,620
حتى انها لطباعة كل شيء ل
ما هذا الموقع أصلا

124
00:05:43,620 --> 00:05:50,350
لا يتم إذا وضعت أي شيء هنا،
انها سوف طباعته هنا.

125
00:05:50,350 --> 00:05:52,390
حتى انها لا تطبع أي شيء.

126
00:05:52,390 --> 00:05:55,560
هذا المثال هو التحقق في الواقع
لمعرفة ما إذا كان السيناريو هو هناك.

127
00:05:55,560 --> 00:05:57,163
لذلك نعم، والمضي قدما.

128
00:05:57,163 --> 00:05:57,606
يسألني.

129
00:05:57,606 --> 00:05:59,560
>> الحضور: أليس إرسال
والحصول على وظيفة أو طلب؟

130
00:05:59,560 --> 00:06:00,670
>> LUCIANO ARANGO: نعم. انهم
إرسال طلب GET.

131
00:06:00,670 --> 00:06:01,350
>> الحضور: ومن؟

132
00:06:01,350 --> 00:06:02,490
>> LUCIANO ARANGO: نعم.

133
00:06:02,490 --> 00:06:04,030
أيضا استخدام متصفحات طلبات آخر.

134
00:06:04,030 --> 00:06:07,470
ولكن أحاول أن تظهر طلبات الحصول على
حتى نتمكن من معرفة ما هو

135
00:06:07,470 --> 00:06:10,760
يحدث فعلا.

136
00:06:10,760 --> 00:06:12,880
وحتى إذا نظرنا إلى هذا الرمز -
حتى انها لا تعمل بعد الآن.

137
00:06:12,880 --> 00:06:24,870
وإذا كان لنا أن نلقي نظرة على هذا الرمز،
انها ستكون في المثال اثنين.

138
00:06:24,870 --> 00:06:29,300
ما هذا الشخص يقوم به، والشخص
المسؤول عن هذا المتصفح -

139
00:06:29,300 --> 00:06:35,370
فتح، موافق -

140
00:06:35,370 --> 00:06:39,290
يتم استبدال كلمة النصي.

141
00:06:39,290 --> 00:06:42,850
هذا هو PHP، والتي قد يا رفاق
شهدت قليلا من بعد.

142
00:06:42,850 --> 00:06:46,250
>> انه مجرد استبدال
كلمة النصي مع الاسم.

143
00:06:46,250 --> 00:06:50,895
لذلك ومع ذلك، إذا كنت المضي قدما
وضعت للتو في -

144
00:06:50,895 --> 00:06:58,520

145
00:06:58,520 --> 00:07:02,360
إذا كنت انتزاع قانون بلدي مرة أخرى، وأنا ذاهب
إلى تعديله قليلا.

146
00:07:02,360 --> 00:07:15,010
بدلا من السيناريو، وانا ذاهب الى تغيير
لأنها النصي برأسمال R. و

147
00:07:15,010 --> 00:07:16,390
ونحن في طريقنا لمعرفة ما إذا كان يعمل هذا الرمز.

148
00:07:16,390 --> 00:07:19,090
لذلك لم طباعته،
الذي هو علامة جيدة.

149
00:07:19,090 --> 00:07:21,990
ونأمل في المزيد من الثواني اثنين،
انها سوف يطفو على السطح.

150
00:07:21,990 --> 00:07:22,820
>> توقيت دخولك بها.

151
00:07:22,820 --> 00:07:23,210
موافق.

152
00:07:23,210 --> 00:07:24,460
كل شئ على ما يرام.

153
00:07:24,460 --> 00:07:27,670
حتى التحقق من وجود النصي قد
لا تعمل بالضرورة.

154
00:07:27,670 --> 00:07:28,130
الشخص -

155
00:07:28,130 --> 00:07:32,290
فإنه يمكن أيضا التحقق من وجود النصي الكبيرة،
النصي صغيرة، قضية شارع

156
00:07:32,290 --> 00:07:34,180
مقارنة، تأكد من انهم نفس.

157
00:07:34,180 --> 00:07:38,480
لكن القراصنة لا تزال تفعل ما نوع من
فعلنا في Vigenere عندما انتقلنا

158
00:07:38,480 --> 00:07:40,620
الأحرف يعود زوجين،
المضي قدما.

159
00:07:40,620 --> 00:07:43,470
ويمكن أن معرفة كيفية وضع النصي
مرة أخرى في وجود لذلك يمكن حقن

160
00:07:43,470 --> 00:07:44,460
أن النصي.

161
00:07:44,460 --> 00:07:50,370
>> فما الذي تريد استخدامه
هو htmlspecialchars ل

162
00:07:50,370 --> 00:07:51,330
حماية موقع الويب الخاص بك.

163
00:07:51,330 --> 00:07:56,490
وهذا ما يفعله هو أنه يجعل
تأكد من أن ما كنت وضعت في -

164
00:07:56,490 --> 00:07:59,610
على سبيل المثال، أو الاقتباسات هذا
أكبر من أو أقل من -

165
00:07:59,610 --> 00:08:04,701
يتم استبدال بشيء
هذا لن يكون -

166
00:08:04,701 --> 00:08:05,951
اسمحوا لي أن التكبير هنا -

167
00:08:05,951 --> 00:08:08,730

168
00:08:08,730 --> 00:08:09,685
علامة الضم الفعلي.

169
00:08:09,685 --> 00:08:13,420
وسوف تحل محل تلك الخاصة HTML
الأحرف التي سنرى عندما نكون

170
00:08:13,420 --> 00:08:14,670
نتحدث عن -

171
00:08:14,670 --> 00:08:18,635

172
00:08:18,635 --> 00:08:20,740
أوه، هذا هو ذاهب الى اتخاذ لي العودة إلى -

173
00:08:20,740 --> 00:08:24,220

174
00:08:24,220 --> 00:08:25,380
هذه الشخصيات هنا.

175
00:08:25,380 --> 00:08:28,180
>> هذه دلالة على أن شيئا ما
قادم.

176
00:08:28,180 --> 00:08:31,570
لHTML، أن قوس بداية
يخبرنا بأن شيئا

177
00:08:31,570 --> 00:08:33,299
ذات الصلة HTML قادم.

178
00:08:33,299 --> 00:08:33,980
ونحن نريد أن نتخلص من ذلك.

179
00:08:33,980 --> 00:08:36,200
نحن لا نريد أن نضع HTML في
website.k نحن لا نريد للمستخدم أن يكون

180
00:08:36,200 --> 00:08:40,260
قادرة على وضع شيء في موقعه على الانترنت
التي يمكن أن تؤثر على موقعه على الانترنت، مثل

181
00:08:40,260 --> 00:08:43,480
النصي أو HTML أو شيء من هذا القبيل.

182
00:08:43,480 --> 00:08:53,090
ما هو مهم هو أن ل
تطهير مدخلات المستخدم.

183
00:08:53,090 --> 00:08:54,720
>> لذلك قد المستخدمين أشياء كثيرة الإدخال.

184
00:08:54,720 --> 00:08:58,110
وقال انه يمكن إدخال حفنة من الاشياء في محاولة
لخداع المتصفح إلى زالت

185
00:08:58,110 --> 00:08:59,410
تشغيل هذا الرمز النصي.

186
00:08:59,410 --> 00:09:02,870
ما تريد القيام به هو لا ننظر فقط
لالنصي، ولكن نبحث عن كل شيء

187
00:09:02,870 --> 00:09:04,250
والتي قد تكون ضارة.

188
00:09:04,250 --> 00:09:06,800
وسوف نفعل ذلك htmlspecialchars
بالنسبة لك، لذلك لم يكن لديك

189
00:09:06,800 --> 00:09:07,340
ما يدعو للقلق حول هذا الموضوع.

190
00:09:07,340 --> 00:09:12,280
ولكن لا تحاول أن تفعل بنفسك
مع نوع من التعليمات البرمجية الخاصة بك.

191
00:09:12,280 --> 00:09:14,055
هو واضحة على الجميع XSS؟

192
00:09:14,055 --> 00:09:14,370
>> موافق.

193
00:09:14,370 --> 00:09:16,355
دعونا نذهب إلى حقن SQL.

194
00:09:16,355 --> 00:09:21,010
لذلك حقن SQL هو على الارجح
ضعف رقم واحد

195
00:09:21,010 --> 00:09:22,490
في مواقع مختلفة.

196
00:09:22,490 --> 00:09:24,350
أعني، مثالا جيدا -

197
00:09:24,350 --> 00:09:27,350
كنت مجرد البحث أبعد
لهذا الشيء.

198
00:09:27,350 --> 00:09:34,430
ولقد وجدت هذه المادة رهيبة، حيث
رأيت أن تم اختراق هارفارد،

199
00:09:34,430 --> 00:09:35,390
تم اختراق.

200
00:09:35,390 --> 00:09:37,370
وكنت أتساءل، حسنا،
كيف ستفعل ذلك؟

201
00:09:37,370 --> 00:09:41,660
من هارفارد الأكثر رهيبة، ومعظم
تأمين الجامعة من أي وقت مضى.

202
00:09:41,660 --> 00:09:43,850
أليس كذلك؟

203
00:09:43,850 --> 00:09:45,410
حسنا، لاختراق خوادم،
قراصنة استخدام

204
00:09:45,410 --> 00:09:47,710
تقنية تسمى حقن SQL.

205
00:09:47,710 --> 00:09:50,250
>> حتى يحدث هذا على أساس يومي.

206
00:09:50,250 --> 00:09:53,590
الناس تنسى أن تأخذ في الاعتبار
للحقن SQL.

207
00:09:53,590 --> 00:09:54,930
هارفارد يفعل.

208
00:09:54,930 --> 00:10:00,050
وأعتقد أنه يقول هنا، برينستون،
ستانفورد، جامعة كورنيل.

209
00:10:00,050 --> 00:10:03,550
فكيف نفعل نحن - فما هو هذا SQL
الحقن التي يتم جلب كل هذه

210
00:10:03,550 --> 00:10:05,668
الناس باستمرار؟

211
00:10:05,668 --> 00:10:08,010
موافق.

212
00:10:08,010 --> 00:10:12,090
بحيث SQL هي لغة البرمجة التي
نستخدم للوصول قواعد البيانات.

213
00:10:12,090 --> 00:10:14,560
ما نقوم به هو أننا اختر -

214
00:10:14,560 --> 00:10:18,510
فما هذا يقرأ الآن هو اختيار
كل شيء من الجدول.

215
00:10:18,510 --> 00:10:22,640
>> SQL، فإنه يغير في قواعد البيانات هذه
التي تحتوي على جداول مليئة بالمعلومات.

216
00:10:22,640 --> 00:10:26,550
لذلك حدد كل شيء من المستخدمين
حيث الاسم هو اسم المستخدم.

217
00:10:26,550 --> 00:10:28,120
أليس كذلك؟

218
00:10:28,120 --> 00:10:30,770
بسيطة بما فيه الكفاية.

219
00:10:30,770 --> 00:10:34,490
فكرة حقن SQL هو أننا
إدراج بعض الشيفرات الخبيثة التي من شأنها أن

220
00:10:34,490 --> 00:10:37,270
خداع الملقم إلى تشغيل شيء
مختلفة عن ما

221
00:10:37,270 --> 00:10:38,430
في الأصل كان يعمل.

222
00:10:38,430 --> 00:10:44,970
لذلك دعونا نقول لاسم المستخدم،
نضع في 1 أو يساوي 1.

223
00:10:44,970 --> 00:10:46,700
لذلك وضعنا في 1 أو يساوي 1.

224
00:10:46,700 --> 00:10:49,890
والطريقة التي سوف تقرأ الآن يكون حدد
من المستخدمين، كل شيء من

225
00:10:49,890 --> 00:10:51,360
المستخدمين - وهذا هو كل شيء -

226
00:10:51,360 --> 00:10:55,880
حيث name هو اسم المستخدم، ولكن
اسم المستخدم هو 1 أو يساوي 1.

227
00:10:55,880 --> 00:11:01,760
>> لذلك الاسم هو شيء أو يساوي 1 1.

228
00:11:01,760 --> 00:11:04,060
1 يساوي 1 صحيح دائما.

229
00:11:04,060 --> 00:11:07,690
ولذلك فإن هذا سيعود دائما المعلومات
من المستخدمين.

230
00:11:07,690 --> 00:11:08,100
موافق.

231
00:11:08,100 --> 00:11:10,030
نحن لا نحتاج إلى الحصول على
اسم المستخدم الصحيح.

232
00:11:10,030 --> 00:11:14,240
فإننا يمكن أن يكون أي شيء ونحن نريد فقط،
وسيعود المعلومات

233
00:11:14,240 --> 00:11:15,690
التي نحتاجها.

234
00:11:15,690 --> 00:11:17,160
دعونا ننظر في مثال آخر.

235
00:11:17,160 --> 00:11:22,720
>> إذا كنا قد حدد كل شيء من المستخدم،
حيث name هو المستخدمين TABLE DROP -

236
00:11:22,720 --> 00:11:26,420
فما رأيكم هذه الإرادة
أفعل إذا وضع في اسم المستخدم

237
00:11:26,420 --> 00:11:29,560
كمستخدمين DROP TABLE؟

238
00:11:29,560 --> 00:11:30,230
أي شخص لديك فكرة؟

239
00:11:30,230 --> 00:11:31,050
نعم.

240
00:11:31,050 --> 00:11:32,470
>> الجمهور: انها سوف اقول
لتفريغ كافة الجداول.

241
00:11:32,470 --> 00:11:35,460
>> LUCIANO ARANGO: انها تسير ليقول لنا
لتفريغ كل شيء في الموقع،

242
00:11:35,460 --> 00:11:38,290
كل شيء في قاعدة البيانات.

243
00:11:38,290 --> 00:11:41,910
وما يستخدمها الناس لهذا - حتى
أنا ذاهب لتظهر لك اللاعبين.

244
00:11:41,910 --> 00:11:45,462
أنا تعطيل إسقاط الجداول
لأنني لم أكن أريد منك

245
00:11:45,462 --> 00:11:48,240
الرجال لإسقاط الجداول بلدي.

246
00:11:48,240 --> 00:11:49,850
دعونا نلقي نظرة على هذا.

247
00:11:49,850 --> 00:11:54,410
لذلك هذا يسحب ببساطة المعلومات
لشخص معين.

248
00:11:54,410 --> 00:11:57,550
فكيف نعرف إذا كان هذا هو
تتأثر حقن SQL.

249
00:11:57,550 --> 00:12:01,545
ونحن في طريقنا للتحقق حقيقية سريعة
اذا كنا نستطيع وضع شيء -

250
00:12:01,545 --> 00:12:04,990

251
00:12:04,990 --> 00:12:06,080
اسمحوا لي أن نسخ هذا الرمز.

252
00:12:06,080 --> 00:12:08,140
انا ذاهب للذهاب أكثر من ذلك في الثانية.

253
00:12:08,140 --> 00:12:12,210
انا ذاهب الى وضع الجذر و1 يساوي 1.

254
00:12:12,210 --> 00:12:15,510
>> هذا الحق هنا، وهذا
علامة النسبة المئوية 23 -

255
00:12:15,510 --> 00:12:19,970
ما هو عليه حقا، إذا أنا
تبدو هنا في -

256
00:12:19,970 --> 00:12:23,820
الطريق HTML يأخذ في الأرقام، وإذا كنت
نلقي نظرة على عندما أضع في الفضاء

257
00:12:23,820 --> 00:12:28,380
هنا - إذا كان لي أن شيئا الفضاء
هنا، فإنه يغير لفي المئة 2.

258
00:12:28,380 --> 00:12:31,420
لا يا رفاق نرى هذا الحق هنا
عندما وضعت في الفضاء؟

259
00:12:31,420 --> 00:12:36,710
الطريقة التي يعمل بها هو أنه يمكنك فقط
إرسال القيم من خلال ASCII HTML.

260
00:12:36,710 --> 00:12:40,330
لذلك فإنه يستبدل، على سبيل المثال،
مساحة مع 20 في المئة.

261
00:12:40,330 --> 00:12:41,970
أنا لا أعرف إذا كنت الرجال
لقد رأينا أن من قبل.

262
00:12:41,970 --> 00:12:45,100
>> فإنه يستبدل الوسم مع 23 في المئة.

263
00:12:45,100 --> 00:12:50,840
نحن بحاجة إلى الوسم في نهاية أو
البيان حتى نتمكن من قول

264
00:12:50,840 --> 00:13:00,885
قاعدة بيانات أن ننسى أن التعليق الخروج
هذا منقوطة مشاركة في نهاية المطاف.

265
00:13:00,885 --> 00:13:03,060
نحن نريد أن لا نفكر في ذلك.

266
00:13:03,060 --> 00:13:05,980
نحن نريد فقط لتشغيل كل شيء
أن لدينا مسبقا و

267
00:13:05,980 --> 00:13:07,450
التعليق أنه من أصل.

268
00:13:07,450 --> 00:13:08,710
دعونا نلقي نظرة على ذلك.

269
00:13:08,710 --> 00:13:14,670
>> حتى إذا كان لي أن وضع شيء خاطئ -
دعنا نقول على سبيل المثال، وضعت 2 متساوين

270
00:13:14,670 --> 00:13:15,690
1، فإنه لا تعطيني أي شيء.

271
00:13:15,690 --> 00:13:22,930
عندما أضع في 1 يساوي 1، وأنه لا
العودة شيء، وهذا يقول لي ان

272
00:13:22,930 --> 00:13:24,660
هذا هو عرضة لل
حقنة SQL.

273
00:13:24,660 --> 00:13:29,090
وأنا أعلم الآن أن كل ما
أنا وضعت بعد هذا -

274
00:13:29,090 --> 00:13:39,110
وعلى سبيل المثال، إسقاط الجداول
أو شيء من هذا القبيل

275
00:13:39,110 --> 00:13:41,190
ستعمل بالتأكيد.

276
00:13:41,190 --> 00:13:44,350
وأنا أعلم أنه عرضة للحقن SQL
لأنني أعرف أن

277
00:13:44,350 --> 00:13:49,850
تحت غطاء محرك السيارة، وانه ترك
لي أن تفعل الشيء 1 يساوي 1.

278
00:13:49,850 --> 00:13:51,100
موافق؟

279
00:13:51,100 --> 00:13:53,950

280
00:13:53,950 --> 00:13:56,540
>> وإذا نظرنا إلى هذه منها الأخرى،
رقم اثنين ورقم ثلاثة، انها

281
00:13:56,540 --> 00:13:59,110
تنوي القيام به أكثر قليلا
للتحقق من تحت

282
00:13:59,110 --> 00:14:03,680
غطاء محرك السيارة من ما هو عليه.

283
00:14:03,680 --> 00:14:07,425
بحيث يتمكن أي شخص تمكين قطرة
أي شيء حتى الآن أو حاولت؟

284
00:14:07,425 --> 00:14:08,760
لا يا رفاق نوع من الحصول على SQL بعد؟

285
00:14:08,760 --> 00:14:10,430
لأنني أعرف يا رفاق لم
ينظر إليه حتى الآن، لذلك نوع من

286
00:14:10,430 --> 00:14:11,759
مربكة بالنسبة لك الرجال.

287
00:14:11,759 --> 00:14:16,160

288
00:14:16,160 --> 00:14:18,480
دعونا نلقي نظرة.

289
00:14:18,480 --> 00:14:21,270
فما هو السبيل لمنع SQLI؟

290
00:14:21,270 --> 00:14:21,390
موافق.

291
00:14:21,390 --> 00:14:23,330
لذلك هذا هو المهم حقا لأنك
الرجال يريدون بالتأكيد لمنع

292
00:14:23,330 --> 00:14:24,090
هذا في مواقع الويب الخاصة بك.

293
00:14:24,090 --> 00:14:28,040
>> إن لم يكن، كل أصدقائك ذاهبون ل
يسخر منكم عندما إسقاط جميع

294
00:14:28,040 --> 00:14:29,390
الجداول الخاصة بك.

295
00:14:29,390 --> 00:14:36,150
وبالتالي فإن الفكرة هي أنك إصلاح SQL
بطريقة معينة، في حين أن تطابق

296
00:14:36,150 --> 00:14:41,940
ما مدخلات المستخدم مع
سلسلة معينة.

297
00:14:41,940 --> 00:14:46,120
لذلك يعمل هذا الطريق هو أنت
إعداد قاعدة البيانات.

298
00:14:46,120 --> 00:14:50,830
قمت بتحديد الاسم واللون، والسعرات الحرارية
من قاعدة بيانات تسمى الفاكهة.

299
00:14:50,830 --> 00:14:53,580
ثم أين هو أقل من السعرات الحرارية،
ونضع علامة استفهام هناك

300
00:14:53,580 --> 00:14:56,530
قائلا نحن في طريقنا لإدخال
شيء في ثانية.

301
00:14:56,530 --> 00:14:58,850
>> ويساوي اللون، ونضع سؤال
علامة قائلا نحن في طريقنا لل

302
00:14:58,850 --> 00:15:00,913
شيء الإدخال في الثاني كذلك.

303
00:15:00,913 --> 00:15:02,660
موافق؟

304
00:15:02,660 --> 00:15:09,920
ثم نقوم بتنفيذ ذلك، وضع
في 150 والحمراء.

305
00:15:09,920 --> 00:15:12,820
وهذا سوف تحقق للتأكد
تأكد من أن هذين -

306
00:15:12,820 --> 00:15:15,300
وسوف تحقق هذه المجموعة أن هذه
هما عدد صحيح و

307
00:15:15,300 --> 00:15:16,550
أن هذه السلسلة.

308
00:15:16,550 --> 00:15:18,810

309
00:15:18,810 --> 00:15:20,890
ثم نذهب، ونحن جلب
كل شيء، نضعه في الحمراء.

310
00:15:20,890 --> 00:15:21,964
هذا يعني أننا إحضار كافة.

311
00:15:21,964 --> 00:15:26,790
هذا يعني أننا فعلا تنفيذ SQL
بيان وضعه مرة أخرى باللون الأحمر.

312
00:15:26,790 --> 00:15:30,530
هنا نفعل نفس الشيء، ولكننا
تفعل الشيء نفسه للأصفر.

313
00:15:30,530 --> 00:15:32,490
ونحن إحضار كافة.

314
00:15:32,490 --> 00:15:36,140
>> وبهذه الطريقة، ونحن منع المستخدم
من أن تكون قادرة على إدخال شيء

315
00:15:36,140 --> 00:15:41,710
لم يكن هذا ما حددنا، سلسلة
أو عدد صحيح، على سبيل المثال.

316
00:15:41,710 --> 00:15:45,100

317
00:15:45,100 --> 00:15:46,610
كنت أتحدث في وقت سابق عن
الاعتماد على الآخرين.

318
00:15:46,610 --> 00:15:50,010
عند الرجال تبدأ مشروعك، وكنت
بالتأكيد ذاهب الى استخدام

319
00:15:50,010 --> 00:15:52,310
التمهيد أو شيئا من هذا القبيل.

320
00:15:52,310 --> 00:15:53,490
هل الرجال أي وقت مضى تستخدم وورد؟

321
00:15:53,490 --> 00:15:57,170
ربما قد استخدمت يا رفاق
ورد على الأرجح.

322
00:15:57,170 --> 00:16:00,050
وبالتالي فإن المشكلة مع استخدام
أشياء الآخرين -

323
00:16:00,050 --> 00:16:05,940
أنا مجرد الذهاب الى جوجل حقيقية سريعة
الضعف وورد.

324
00:16:05,940 --> 00:16:07,495
>> إذا كنت سحب هذا حتى الآن -

325
00:16:07,495 --> 00:16:08,995
أنا حرفيا فعل اثنين من جوجل الثاني.

326
00:16:08,995 --> 00:16:12,300

327
00:16:12,300 --> 00:16:13,800
يمكننا أن نرى أن وورد -

328
00:16:13,800 --> 00:16:17,450
هذا هو مؤرخة في سبتمبر '12.

329
00:16:17,450 --> 00:16:19,120
يتم تحديث 26.

330
00:16:19,120 --> 00:16:23,620
التكوين الافتراضي من وورد
قبل 3.6 لا يمنع هذه

331
00:16:23,620 --> 00:16:27,110
بعض الإضافات التي قد
تجعل من السهل على

332
00:16:27,110 --> 00:16:29,790
هجمات البرمجة النصية للمواقع المشتركة.

333
00:16:29,790 --> 00:16:34,530
حتى قصة سريعة، مرة واحدة كنا نعمل
مع - لذلك كان، في الصيف، والعمل على

334
00:16:34,530 --> 00:16:34,970
التدريب.

335
00:16:34,970 --> 00:16:40,400
وكنا نعمل مع نوع من
مثل شركة بطاقة الائتمان كبيرة.

336
00:16:40,400 --> 00:16:42,020
>> وأنها تعتمد على ما يسمى -

337
00:16:42,020 --> 00:16:45,740
أنا لا أعرف إذا كنت من أي وقت مضى لعبت الرجال
مع منتج يسمى جملة.

338
00:16:45,740 --> 00:16:51,750
من جملة المنتج الذي يستخدم ل
السيطرة - نوع من مشابهة ل

339
00:16:51,750 --> 00:16:54,340
وورد، وتستخدم لبناء المواقع.

340
00:16:54,340 --> 00:16:56,060
فاضطروا موقعه على الانترنت
العمل على جملة.

341
00:16:56,060 --> 00:16:59,290
هذا هو في الواقع بطاقة الائتمان
الشركة في كولومبيا.

342
00:16:59,290 --> 00:17:01,000
أنا سآخذك إلى هم
الموقع الحقيقي سريعة.

343
00:17:01,000 --> 00:17:04,550

344
00:17:04,550 --> 00:17:05,400
>> حتى أنها تستخدم جملة.

345
00:17:05,400 --> 00:17:08,630
وكانوا قد يتم تحديث جملة
لأحدث إضافة.

346
00:17:08,630 --> 00:17:12,160
وحتى عندما كنا نلقي نظرة على
التعليمات البرمجية الخاصة بهم، وكنا قادرين على الواقع

347
00:17:12,160 --> 00:17:18,430
يذهب داخل التعليمات البرمجية الخاصة بهم وسرقة جميع
معلومات بطاقة الائتمان التي لديهم،

348
00:17:18,430 --> 00:17:21,670
جميع أرقام بطاقات الائتمان، و
أسماء وعناوين.

349
00:17:21,670 --> 00:17:22,740
وكان هذا فقط -

350
00:17:22,740 --> 00:17:23,569
ومدوناتها على ما يرام تماما.

351
00:17:23,569 --> 00:17:24,710
كان لديهم رمز كبير.

352
00:17:24,710 --> 00:17:25,389
وكان كل ذلك الأمن.

353
00:17:25,389 --> 00:17:26,520
انهم فحص جميع قواعد البيانات.

354
00:17:26,520 --> 00:17:29,020
تأكدوا من المواقع المشتركة
البرمجة على ما يرام.

355
00:17:29,020 --> 00:17:34,390
>> لكنها تستخدم شيئا لم يكن
المحدثة، التي لم تكن آمنة.

356
00:17:34,390 --> 00:17:36,940
وبحيث قادهم ل- لذلك يا رفاق
وبالتأكيد لاستخدام آخر

357
00:17:36,940 --> 00:17:40,650
رمز، أطر الناس الآخرين
لبناء موقع الويب الخاص بك.

358
00:17:40,650 --> 00:17:43,860
تأكد من انهم آمنة ل
في بعض الأحيان انها ليست لك، تلك التي

359
00:17:43,860 --> 00:17:44,480
أخطأ.

360
00:17:44,480 --> 00:17:47,440
لكن شخص آخر يجعل من الخطأ، و
ثم هل تسقط بسبب ذلك.

361
00:17:47,440 --> 00:17:51,190

362
00:17:51,190 --> 00:17:53,885
>> كلمات السر وPII.

363
00:17:53,885 --> 00:17:56,820
من كلمات السر.

364
00:17:56,820 --> 00:17:58,070
موافق.

365
00:17:58,070 --> 00:17:59,980

366
00:17:59,980 --> 00:18:04,230
دعونا نلقي نظرة على كلمات السر
حقيقية سريعة.

367
00:18:04,230 --> 00:18:04,590
موافق.

368
00:18:04,590 --> 00:18:06,520
من فضلك قل لي ان الجميع
يستخدم آمن -

369
00:18:06,520 --> 00:18:09,030
أنا على أمل الجميع هنا
يستخدم كلمات مرور آمنة.

370
00:18:09,030 --> 00:18:12,890
أنا مجرد السماح بأن
في مثل هذا الافتراض.

371
00:18:12,890 --> 00:18:14,850
لذلك يا رفاق بالتأكيد ل
تخزين كلمات المرور لمواقع الويب الخاصة بك.

372
00:18:14,850 --> 00:18:17,440
وأنت تسير لجعل شيء من هذا القبيل
تسجيل دخول أو شيء من هذا القبيل.

373
00:18:17,440 --> 00:18:19,610
ما هو مهم هو أن لا تخزين
كلمات المرور في نص عادي.

374
00:18:19,610 --> 00:18:20,860
هذا مهم للغاية.

375
00:18:20,860 --> 00:18:23,960
كنت لا تريد لتخزين
كلمة المرور في نص عادي.

376
00:18:23,960 --> 00:18:27,370
>> وأنت بالتأكيد لا تريد حقا
لتخزينه في تجزئة اتجاه واحد.

377
00:18:27,370 --> 00:18:32,440
فما هو تجزئة اتجاه واحد أنه عند
توليد كلمة واحدة، عندما كنت وضعت هذه

378
00:18:32,440 --> 00:18:36,200
كلمة في وظيفة تجزئة، وسوف
توليد يعود نوعا من خفي

379
00:18:36,200 --> 00:18:39,390
رسالة أو مجموعة من المفاتيح خفي.

380
00:18:39,390 --> 00:18:40,640
سأريكم مثالا على ذلك.

381
00:18:40,640 --> 00:18:44,620

382
00:18:44,620 --> 00:18:50,250
انا ذاهب الى تجزئة أنها كلمة password1.

383
00:18:50,250 --> 00:18:55,280
تجزئة MD5 ذلك سوف تعود لي
نوعا من المعلومات غريب.

384
00:18:55,280 --> 00:18:59,140
>> المشكلة هي أن الناس هناك
التي ترغب في الذهاب إلى المواقع لديها

385
00:18:59,140 --> 00:19:02,750
سبق أن حظيت بها نوع
جميع التجزئات MD5.

386
00:19:02,750 --> 00:19:06,030
ما لم يتم جلسوا على هم
أجهزة الكمبيوتر، وأنها تجزئته كل

387
00:19:06,030 --> 00:19:09,660
كلمة واحدة ممكن هناك حتى
لأنهم وصلوا نوع من ما هو هذا.

388
00:19:09,660 --> 00:19:11,420
إذا كان لي أن ننظر هذا الأمر -

389
00:19:11,420 --> 00:19:12,420
أنا فقط أمسك هذا التجزئة.

390
00:19:12,420 --> 00:19:14,120
إذا كنت تحصل على هذه التجزئة من -

391
00:19:14,120 --> 00:19:17,470
إذا ذهبت إلى موقع على شبكة الانترنت، وأجد
هذه التجزئة لأنني وصول الى

392
00:19:17,470 --> 00:19:24,100
قواعد البيانات، وأنا أتطلع إلى فوق، شخص
أحسب أنه بالفعل بالنسبة لي.

393
00:19:24,100 --> 00:19:28,600

394
00:19:28,600 --> 00:19:29,100
>> نعم.

395
00:19:29,100 --> 00:19:35,030
حتى جلس الشعب، ومهما MD5
التجزئة التي وضعت في، انهم ذاهبون ل

396
00:19:35,030 --> 00:19:37,760
العودة إلى لك شيئا
وهذا هو كلمة واحدة.

397
00:19:37,760 --> 00:19:39,800
إذا كنت تجزئة كلمة أخرى، مثل -

398
00:19:39,800 --> 00:19:42,410
أنا لا أعرف -

399
00:19:42,410 --> 00:19:43,490
trees2.

400
00:19:43,490 --> 00:19:46,050
أنا لا أريد أن يكون بخيبة أمل
بلدي البحث جوجل.

401
00:19:46,050 --> 00:19:49,820

402
00:19:49,820 --> 00:19:52,780
ومن هناك، trees2.

403
00:19:52,780 --> 00:19:55,930
لذلك الكثير من المواقع
لا تزال تستخدم تجزئة MD5.

404
00:19:55,930 --> 00:19:57,730
يقولون، أوه، انها آمنة.

405
00:19:57,730 --> 00:19:58,570
نحن لا تخزين في نص عادي.

406
00:19:58,570 --> 00:19:59,740
لدينا هذا MD5 البعثرة.

407
00:19:59,740 --> 00:20:01,880
وكل ما عليك فعله هو فقط
جوجل الرقم.

408
00:20:01,880 --> 00:20:03,940
>> ليس لدي حتى لحساب نفسي.

409
00:20:03,940 --> 00:20:06,790
يمكنني فقط جوجل ذلك، وشخص
فعلت بالفعل بالنسبة لي.

410
00:20:06,790 --> 00:20:08,010
هنا حفنة منهم.

411
00:20:08,010 --> 00:20:09,260
هنا حفنة من كلمات السر.

412
00:20:09,260 --> 00:20:13,890

413
00:20:13,890 --> 00:20:18,680
لذلك بالتأكيد لا تستخدم تجزئة MD5،
لأن كل ما عليك

414
00:20:18,680 --> 00:20:19,140
جوجل فعله هو عليه.

415
00:20:19,140 --> 00:20:20,390
فماذا تريد استخدامها بدلا من ذلك؟

416
00:20:20,390 --> 00:20:29,340

417
00:20:29,340 --> 00:20:30,170
موافق.

418
00:20:30,170 --> 00:20:31,260
ما يسمى التمليح.

419
00:20:31,260 --> 00:20:32,460
فما هو التمليح -

420
00:20:32,460 --> 00:20:36,280
لا يا رفاق نتذكر عندما كنا
نتحدث عن العشوائية في -

421
00:20:36,280 --> 00:20:37,920
لست متأكدا ما كان عليه pset -

422
00:20:37,920 --> 00:20:41,140
هل كان هناك pset أو أربعة؟

423
00:20:41,140 --> 00:20:45,150
>> كنا نتحدث عن إيجاد
إبرة في كومة قش.

424
00:20:45,150 --> 00:20:48,480
وقال في pset أن كنت قد
فعلا معرفة ما العشوائي

425
00:20:48,480 --> 00:20:51,840
يولد لشخص ما ركض بالفعل
عشوائية مليون مرة وفقط

426
00:20:51,840 --> 00:20:53,230
شكلت نوعا من ما تولد.

427
00:20:53,230 --> 00:20:55,840
ما تريد القيام به هو
وضع في المدخلات.

428
00:20:55,840 --> 00:20:57,130
وهذا ما هو نوع من التمليح.

429
00:20:57,130 --> 00:21:00,900
أحسب أنهم بالفعل ما التمليح
يعود لكل عمل.

430
00:21:00,900 --> 00:21:04,750
>> وذلك ما يفعله هو التمليح
كنت وضعت في الملح.

431
00:21:04,750 --> 00:21:06,160
كنت وضعت في كلمة واحدة معينة.

432
00:21:06,160 --> 00:21:09,720
وسوف تجزئة تلك الكلمة تبعا
على ما كنت وضعت هنا.

433
00:21:09,720 --> 00:21:13,570
حتى لو كنت تجزئة كلمة مرور واحدة مع هذا
الجملة، انها سوف تجزئة

434
00:21:13,570 --> 00:21:17,180
مختلف إذا كنت تجزئة password1
مع الجملة مختلفة.

435
00:21:17,180 --> 00:21:21,670
انها نوع من يعطيها مكان لل
بدء لتجزئة للبدء.

436
00:21:21,670 --> 00:21:25,970
لذلك فمن أصعب بكثير لحساب، ولكنك
لا يزال حساب، وخصوصا

437
00:21:25,970 --> 00:21:26,830
إذا كنت تستخدم الملح سيئة.

438
00:21:26,830 --> 00:21:29,650
>> بالفعل أحسب الناس أيضا
أملاح المشتركة وأحسب

439
00:21:29,650 --> 00:21:31,500
ما الذي هو عليه.

440
00:21:31,500 --> 00:21:34,980
أملاح العشوائية هي أفضل بكثير،
ولكن أفضل طريقة هي استخدام

441
00:21:34,980 --> 00:21:38,160
ما يسمى سرداب.

442
00:21:38,160 --> 00:21:40,480
وما سرداب يسمح لك ل
لا - حتى هذه الوظائف هي

443
00:21:40,480 --> 00:21:41,820
بنيت بالفعل بالنسبة لك.

444
00:21:41,820 --> 00:21:44,910
كثير من الناس ينسون ذلك، أو
ينسون لاستخدامه.

445
00:21:44,910 --> 00:21:54,520
ولكن إذا أقدرك سرداب PHP، سرداب
يعود بالفعل سلسلة التجزئة بالنسبة لي.

446
00:21:54,520 --> 00:21:58,790
وأملاح فعلا عدة مرات
وتجزئات ذلك مرات عديدة.

447
00:21:58,790 --> 00:22:00,070
>> لذلك نحن لم يكن لديك للقيام بذلك.

448
00:22:00,070 --> 00:22:04,790
لذلك كل ما عليك القيام به هو
إرسالها إلى سرداب.

449
00:22:04,790 --> 00:22:08,170
وأنه سيتم إنشاء تجزئة كبيرة دون
كنت الحاجة إلى القلق بشأن الملح

450
00:22:08,170 --> 00:22:08,990
أو أي شيء.

451
00:22:08,990 --> 00:22:12,000
لأنه إذا كان لالملح ذلك، لديك
لنتذكر ما الملح استخدمته

452
00:22:12,000 --> 00:22:13,800
لأنه إذا لم يكن كذلك، لا يمكنك الحصول على الخاص
كلمة العودة من دون

453
00:22:13,800 --> 00:22:15,760
الملح الذي استخدمته.

454
00:22:15,760 --> 00:22:17,010
موافق.

455
00:22:17,010 --> 00:22:21,120

456
00:22:21,120 --> 00:22:23,150
>> وأيضا التعرف الشخصية
المعلومات.

457
00:22:23,150 --> 00:22:26,730
الضمان الاجتماعي حتى، وبطاقات الائتمان -
هذا واضح جدا.

458
00:22:26,730 --> 00:22:31,880
لكن في بعض الأحيان ينسى الناس الطريقة التي
اعمال، وكم المعلومات هل

459
00:22:31,880 --> 00:22:35,690
في الواقع بحاجة إلى العثور على بعض شخص واحد؟

460
00:22:35,690 --> 00:22:37,740
شخص ما فعلت دراسة حول
هذه وسيلة الظهر.

461
00:22:37,740 --> 00:22:40,870
وكان مثل، إذا كان لديك
اسم كامل، لم تتمكن من العثور

462
00:22:40,870 --> 00:22:41,610
شخص ما بسهولة.

463
00:22:41,610 --> 00:22:43,900
ولكن ماذا لو كان لديك الاسم الكامل
وتاريخ ميلادهم؟

464
00:22:43,900 --> 00:22:47,770
هل هذا يكفي لتحديد
شخص ما على وجه التحديد؟

465
00:22:47,770 --> 00:22:52,760
>> ماذا لو كان لديك اسم والخاصة و
عنوان الشارع أنهم يعيشون على؟

466
00:22:52,760 --> 00:22:55,110
هل هذا يكفي للعثور على شخص ما؟

467
00:22:55,110 --> 00:23:02,490
وذلك عندما يتساءلون، ما هو
معلومات تعريفية شخصية، و

468
00:23:02,490 --> 00:23:05,360
ما يجب أن تقلق
لا تعطي بعيدا؟

469
00:23:05,360 --> 00:23:08,770
إذا كنت التخلي عن تعريف شخصية
المعلومات التي شخص ما يمنحك،

470
00:23:08,770 --> 00:23:11,420
هل يمكن أن يحتمل الحصول على مقاضاتها.

471
00:23:11,420 --> 00:23:12,610
ونحن بالتأكيد لا نريد ذلك.

472
00:23:12,610 --> 00:23:14,955
>> حتى عندما كنت وضع موقع الويب الخاص بك
بها، وكان لديك حقا بارد

473
00:23:14,955 --> 00:23:17,230
تصميم، ونأمل أجريتها
مشروع النهائي رهيبة.

474
00:23:17,230 --> 00:23:18,370
أي نوع من تريد ل
وضعها هناك.

475
00:23:18,370 --> 00:23:21,420
كنت ترغب في التأكد من أن كل ما
كنت تتناولين من المستخدم، اذا كان

476
00:23:21,420 --> 00:23:25,310
معلومات تعريفية شخصية، ل
نريد أن نتأكد من أنك في الحقيقة

477
00:23:25,310 --> 00:23:26,560
الحذر معها.

478
00:23:26,560 --> 00:23:29,670

479
00:23:29,670 --> 00:23:31,080
>> قذيفة الحقن.

480
00:23:31,080 --> 00:23:31,350
موافق.

481
00:23:31,350 --> 00:23:37,590
قذيفة حقن يسمح الدخيل ل
الحصول على سطر الأوامر الفعلية الخاصة بك

482
00:23:37,590 --> 00:23:39,660
في الخادم الخاص بك.

483
00:23:39,660 --> 00:23:44,060
وحتى انه قادر على تشغيل تعليمات برمجية
التي لا يمكن السيطرة عليها.

484
00:23:44,060 --> 00:23:49,560
دعونا نأخذ مثالا من هذا
سلسلة جميلة هنا.

485
00:23:49,560 --> 00:23:55,570
إذا ذهبنا إلى الموقع مرة أخرى، وأنا
ستذهب إلى حقن رمز.

486
00:23:55,570 --> 00:23:58,910
لذلك هذا ما يفعله هو -

487
00:23:58,910 --> 00:24:00,420
كما انها ما كنا
تبحث في من قبل.

488
00:24:00,420 --> 00:24:11,200
نحن السماح للمستخدم وضع في كل ما
يريد، وأنه سوف طباعة

489
00:24:11,200 --> 00:24:12,220
كل ما تريد.

490
00:24:12,220 --> 00:24:13,890
>> لذلك أنا ذاهب لوضع المكالمة.

491
00:24:13,890 --> 00:24:15,540
هذا ما يفعله هو -

492
00:24:15,540 --> 00:24:16,940
انها ستبدأ بواسطة وصل.

493
00:24:16,940 --> 00:24:19,520
لذلك سوف اسمحوا لي أن تشغيل أيا كان
الأمر تشغيل الشخص

494
00:24:19,520 --> 00:24:21,500
وقبل أمري.

495
00:24:21,500 --> 00:24:23,980
وأنا على التوالي أمر النظام.

496
00:24:23,980 --> 00:24:27,310
وهذه السلاسل هي مشاركة - تذكر
ما تحدثت لك عن الرجال،

497
00:24:27,310 --> 00:24:31,725
حين يكون لديك لترميز
في طريقة URL.

498
00:24:31,725 --> 00:24:35,010

499
00:24:35,010 --> 00:24:36,992
إذا قمت بتشغيل هذا الآن -

500
00:24:36,992 --> 00:24:39,150
سأريكم هنا -

501
00:24:39,150 --> 00:24:41,100
سترى أن انتهى
حتى تشغيل الأوامر.

502
00:24:41,100 --> 00:24:45,700

503
00:24:45,700 --> 00:24:49,320
>> هذا هو في الواقع الفعلي الخادم
أن موقع الويب الخاص بي يعمل على.

504
00:24:49,320 --> 00:24:55,840

505
00:24:55,840 --> 00:24:58,510
لذلك نحن لا نريد ذلك،
لأنني لا أستطيع تشغيل -

506
00:24:58,510 --> 00:25:00,320
هذا الخادم ليس لي.

507
00:25:00,320 --> 00:25:04,030
لذلك أنا لا أريد أن خبط له
شقيقة، والخادم ماركوس.

508
00:25:04,030 --> 00:25:07,470
ولكن يمكنك تشغيل أكثر الأوامر
التي تشكل خطرا.

509
00:25:07,470 --> 00:25:11,885
ويحتمل أن تكون، هل يمكن حذف
الملفات، وإزالة الدلائل.

510
00:25:11,885 --> 00:25:14,390

511
00:25:14,390 --> 00:25:17,970
يمكنني إزالة دليل معينة إذا
أردت أن، ولكن أنا لا أريد

512
00:25:17,970 --> 00:25:19,530
للقيام بذلك لماركوس.

513
00:25:19,530 --> 00:25:20,420
انه رجل لطيف.

514
00:25:20,420 --> 00:25:21,470
انه اسمحوا لي أن تقترض خادم له.

515
00:25:21,470 --> 00:25:24,620
لذلك انا ذاهب للسماح له
قبالة على واحد جيد.

516
00:25:24,620 --> 00:25:32,280
>> فما نحن لا نريد لاستخدام - ونحن لا
تريد استخدام وحدة التقييم أو النظام.

517
00:25:32,280 --> 00:25:34,755
وحدة التقييم أو نظام يسمح لنا ل
جعل هذه المكالمات النظام.

518
00:25:34,755 --> 00:25:37,410

519
00:25:37,410 --> 00:25:38,410
وسائل تقييم وحدة التقييم.

520
00:25:38,410 --> 00:25:40,790
النظام يعني ما ركضت.

521
00:25:40,790 --> 00:25:42,490
يتم تشغيله من شيء في النظام.

522
00:25:42,490 --> 00:25:46,730
ولكن يمكننا تحريم هذه الأمور في
PHP حتى نتمكن لم تستخدمها.

523
00:25:46,730 --> 00:25:47,400
وتحميل الملفات.

524
00:25:47,400 --> 00:25:49,180
كنت ذاهبا للقيام رهيبة
الشيء مع تحميل الملف.

525
00:25:49,180 --> 00:25:52,740
ولكن مثل قلت يا رفاق، ملفي
الشيء تحميل لا يعمل.

526
00:25:52,740 --> 00:25:54,590
إذا كان لي أن إيداع ملف في الوقت الراهن -

527
00:25:54,590 --> 00:25:57,120

528
00:25:57,120 --> 00:26:00,830
إذا كان لي أن تحميل ملف،
وانها الصورة -

529
00:26:00,830 --> 00:26:03,180
لديك شيء تحميل
هذا صورة.

530
00:26:03,180 --> 00:26:03,660
هذا شيء طيب.

531
00:26:03,660 --> 00:26:04,280
يحدث شيء.

532
00:26:04,280 --> 00:26:10,840
>> ولكن إذا كان لديك ملف تحميل، ل
سبيل المثال، والمستخدم الإضافات الواقع

533
00:26:10,840 --> 00:26:19,220
ملف PHP أو exe أو شيء
من هذا القبيل، ثم هل يمكن أن يحتمل

534
00:26:19,220 --> 00:26:19,740
لديك مشكلة.

535
00:26:19,740 --> 00:26:21,390
وكان هذا العمل من قبل.

536
00:26:21,390 --> 00:26:25,202
لسوء الحظ بالنسبة لي، انها
لا تعمل بعد الآن.

537
00:26:25,202 --> 00:26:30,230
إذا كنت، على سبيل المثال، وتحميل هذا الملف، وأنا
عدم الحصول على إذن لتحميل

538
00:26:30,230 --> 00:26:33,400
الملف بسبب الخادم
عدم الألغام.

539
00:26:33,400 --> 00:26:38,670
ذلك الرجل ذكية حقا.

540
00:26:38,670 --> 00:26:39,610
>> لذلك نحن لا نريد أن -

541
00:26:39,610 --> 00:26:40,130
أنا ذاهب لتظهر لك الرجال -

542
00:26:40,130 --> 00:26:41,840
موافق، وهذه هي بعض الأدوات باردة حقا.

543
00:26:41,840 --> 00:26:45,100
لذلك فان هذه -

544
00:26:45,100 --> 00:26:47,715
الذهاب إلى - إذا كنت الرجال قد فايرفوكس -
نأمل أن تفعل.

545
00:26:47,715 --> 00:26:54,260
هناك اثنين من إضافات تسمى SQL حقن
لي وسيناريو عبر المواقع عني.

546
00:26:54,260 --> 00:26:56,870
أنها تفتح الجانب اقل من
القضبان على الجانب.

547
00:26:56,870 --> 00:27:01,480
وإذا كان لي أن أذهب إلى
CS60 على سبيل المثال -

548
00:27:01,480 --> 00:27:04,210
لذلك ما تفعله هو أنها تبدو
لجميع أشكال ذلك -

549
00:27:04,210 --> 00:27:07,220

550
00:27:07,220 --> 00:27:08,760
نأمل، وأنا لن تحصل
في ورطة لهذا الغرض.

551
00:27:08,760 --> 00:27:09,190
>> ولكن موافق.

552
00:27:09,190 --> 00:27:12,600
وهنا نظام دبوس.

553
00:27:12,600 --> 00:27:18,946
لذلك عندما أبدأ يبحث عن الثقوب في
النظام، فإن أول شيء أقوم به هو

554
00:27:18,946 --> 00:27:21,820
فتح هذا القليل جميلة
الأداة على الجانب.

555
00:27:21,820 --> 00:27:24,160
وانا ذاهب لاختبار أشكال
مع هجمات السيارات.

556
00:27:24,160 --> 00:27:28,510
وهذا ما يفعله ذلك هو أنه سوف ببطء
فتح مجموعة من المتصفحات.

557
00:27:28,510 --> 00:27:29,930
وهنا مجموعة من المتصفحات.

558
00:27:29,930 --> 00:27:33,320
وانها تحاول كل تركيبة واحدة
من البرمجة عبر الموقع

559
00:27:33,320 --> 00:27:37,380
غير أن هناك ربما، إذا
ترى على الجانب.

560
00:27:37,380 --> 00:27:42,080
>> وسوف تعطيني نتيجة ل
نوع من ما هو الجواب.

561
00:27:42,080 --> 00:27:42,860
جميع بالمرور.

562
00:27:42,860 --> 00:27:43,910
من الواضح، وأنهم جميعا بالمرور.

563
00:27:43,910 --> 00:27:46,190
أعني، أنهم أذكياء حقا
الناس هناك.

564
00:27:46,190 --> 00:27:48,010
ولكن إذا كان لي أن تشغيل -

565
00:27:48,010 --> 00:27:52,050
لقد كان مرات من قبل عندما كنت تشغيل هذا
على المشاريع النهائية للطلاب.

566
00:27:52,050 --> 00:27:56,080
أنا ببساطة تشغيل SQL حقن البيانات مع
جميع الهجمات المختلفة.

567
00:27:56,080 --> 00:28:00,080
وانها تحاول حقن SQL
هذا الخادم دبوس.

568
00:28:00,080 --> 00:28:03,590
حتى إذا كنا انتقل لأسفل، ل
سبيل المثال، فإنه يقول -

569
00:28:03,590 --> 00:28:04,960
هذا أمر جيد اذا عاد.

570
00:28:04,960 --> 00:28:08,250
>> لذلك اختبار بعض قيم معينة.

571
00:28:08,250 --> 00:28:11,170
وعاد الملقم
التعليمات البرمجية التي كانت سلبية.

572
00:28:11,170 --> 00:28:11,780
إزالة مؤقتا.

573
00:28:11,780 --> 00:28:13,030
وهذا أمر جيد.

574
00:28:13,030 --> 00:28:17,050

575
00:28:17,050 --> 00:28:20,750
فإنه يحاول كل هذه الاختبارات.

576
00:28:20,750 --> 00:28:21,790
لذلك يمكن أن ببساطة تشغيل -

577
00:28:21,790 --> 00:28:27,860
أتمنى أن تجد حقيقية الموقع
سريعة من شأنها أن تسمح لي -

578
00:28:27,860 --> 00:28:29,110
ربما مخزن CS50.

579
00:28:29,110 --> 00:28:43,890

580
00:28:43,890 --> 00:28:45,711
>> نجاح باهر، وهذا هو ذاهب ل
اتخاذ الطريق طويل جدا.

581
00:28:45,711 --> 00:28:53,090

582
00:28:53,090 --> 00:28:55,130
أنني سأترك أول اختبار
لا ينتهي حق.

583
00:28:55,130 --> 00:28:57,330
حتى انها تشكو.

584
00:28:57,330 --> 00:28:58,470
لذلك فان هذه هي الأشياء الثلاثة.

585
00:28:58,470 --> 00:29:00,430
هذه الأدوات هي مجانية.

586
00:29:00,430 --> 00:29:03,960
يمكنك تنزيلها وتشغيلها على
موقع الويب الخاص بك، وسوف اقول لكم ما اذا

587
00:29:03,960 --> 00:29:06,650
لديك البرمجة عبر الموقع،
إذا كان لديك SQL، إذا كان لديك

588
00:29:06,650 --> 00:29:07,900
شيء من مثل.

589
00:29:07,900 --> 00:29:12,230

590
00:29:12,230 --> 00:29:14,500
أنا نوع من العبث.

591
00:29:14,500 --> 00:29:15,550
>> ما هو مهم -

592
00:29:15,550 --> 00:29:17,900
موافق، لذلك لم تثق المستخدم.

593
00:29:17,900 --> 00:29:21,920
مهما كانت مدخلات المستخدم للكم، وجعل
متأكد من أنك تطهير ذلك، لتنظيفه،

594
00:29:21,920 --> 00:29:25,300
قمت بفحص الأمور في نصابها الصحيح،
أنه يعطيك ما

595
00:29:25,300 --> 00:29:28,240
أريده أن أعطيك.

596
00:29:28,240 --> 00:29:32,460
دائما يتم تحديثه على ما أطر
ان كنت فعلا باستخدام.

597
00:29:32,460 --> 00:29:34,630
إذا كنت تستخدم شيئا مثل التمهيد -

598
00:29:34,630 --> 00:29:36,340
وأنا أعلم يا رفاق ذاهبون إلى استخدام
التمهيد لانه ذاهب للذهاب

599
00:29:36,340 --> 00:29:38,140
على هذا قريبا في الطبقة -

600
00:29:38,140 --> 00:29:43,120
وورد أو شيء من هذا القبيل،
عادة يمكن أن يكون اخترق هذا.

601
00:29:43,120 --> 00:29:44,770
>> ثم كنت لا تعرف حتى.

602
00:29:44,770 --> 00:29:45,800
كنت مجرد تشغيل موقع الويب الخاص بك.

603
00:29:45,800 --> 00:29:47,360
وأنها آمنة تماما.

604
00:29:47,360 --> 00:29:51,730
وتذهب إلى أسفل.

605
00:29:51,730 --> 00:29:54,000
لذلك أنا الصيد في وقت مبكر حقا.

606
00:29:54,000 --> 00:29:55,770
ولكن أريد أن أشكر Pentest مختبرات.

607
00:29:55,770 --> 00:29:58,140
أنا ذاهب لتظهر لك الرجال شيئا
دعا Pentest مختبرات.

608
00:29:58,140 --> 00:30:05,000
إذا كنت مهتما حقا الرجال في
ما الأمنية حقا، هناك

609
00:30:05,000 --> 00:30:07,300
الانترنت يسمى Pentest مختبرات إذا
يا رفاق تذهب إليه الآن.

610
00:30:07,300 --> 00:30:10,730
أوه، حسنا، هذا ليس عليه.

611
00:30:10,730 --> 00:30:12,030
أنا مجرد الذهاب لتشغيله مثل هذا.

612
00:30:12,030 --> 00:30:14,400
جوجل يقول لي الجواب.

613
00:30:14,400 --> 00:30:16,590
>> موافق.

614
00:30:16,590 --> 00:30:19,030
وأنه يعلم استخدام لكم - لذلك
يقول، تعلم الاختراق على شبكة الإنترنت

615
00:30:19,030 --> 00:30:21,060
اختبار الطريق الصحيح.

616
00:30:21,060 --> 00:30:23,650
أنه يعلم لكم -

617
00:30:23,650 --> 00:30:25,150
نأمل، أنت شخص الأخلاقية.

618
00:30:25,150 --> 00:30:29,200
لكنه هل يعلم كيف يمكن أن ننظر في
كيف يمكنك الحصول على داخل المواقع.

619
00:30:29,200 --> 00:30:31,130
وإذا كنت تعلم كيف يمكن أن تحصل داخل
المواقع، ويمكنك معرفة كيفية

620
00:30:31,130 --> 00:30:34,960
حماية نفسك من الإصابة
المواقع في الداخل.

621
00:30:34,960 --> 00:30:39,100
اسمحوا لي أن التكبير لأنه ربما يا رفاق
لا تبحث في هذا الحق.

622
00:30:39,100 --> 00:30:46,350
>> من حقن SQL لقذيفة، لذلك
نوع من كيف يمكنني الحصول من SQL

623
00:30:46,350 --> 00:30:48,530
حقن لقذيفة.

624
00:30:48,530 --> 00:30:53,890
وقمت بتحميل هذا الجهاز الظاهري.

625
00:30:53,890 --> 00:30:55,690
ويأتي الجهاز الظاهري بالفعل
مع الموقع الذي كنت

626
00:30:55,690 --> 00:30:56,780
ذاهب الى محاولة على.

627
00:30:56,780 --> 00:30:58,030
قمت بتحميل هذا PDF.

628
00:30:58,030 --> 00:31:03,610

629
00:31:03,610 --> 00:31:08,370
وسوف تظهر لك سطرا سطرا ما
ما عليك القيام به، ما تحقق.

630
00:31:08,370 --> 00:31:14,560
هذا هو ما مهاجمين الواقع
لا للحصول على داخل موقع على شبكة الانترنت.

631
00:31:14,560 --> 00:31:15,750
>> وبعض من هذه الاشياء معقدة.

632
00:31:15,750 --> 00:31:17,520
أتمنى أن يذهب أكثر أكثر
الأشياء مع رفاق.

633
00:31:17,520 --> 00:31:21,090
ولكن أخشى أن يا رفاق
لم حقا -

634
00:31:21,090 --> 00:31:23,090
هذا هو ما ذهبت مع
يا رفاق، واختبارات على شبكة الإنترنت

635
00:31:23,090 --> 00:31:26,830
لاختبار الاختراق.

636
00:31:26,830 --> 00:31:33,540
لا أعرف حقا ما
SQL هي وماذا -

637
00:31:33,540 --> 00:31:35,960
ندوة كارل جاكسون
هو رائع كذلك.

638
00:31:35,960 --> 00:31:37,360
يا رفاق لا أعرف نوع
ما هو هذا.

639
00:31:37,360 --> 00:31:39,450
ولكن إذا ذهبت إلى هذا الموقع، وكنت
تحميل هذه الدروس وهذه

640
00:31:39,450 --> 00:31:43,290
ملفات PDF، يمكنك إلقاء نظرة على نوع من
ما مجال الأمن لا حقا

641
00:31:43,290 --> 00:31:46,940
في اختبار الاختراق، ونرى كيف يمكن
الحصول على مواقع داخل وحماية

642
00:31:46,940 --> 00:31:48,020
نفسك منه.

643
00:31:48,020 --> 00:31:56,360
>> لذلك إذا قمت بعمل لمحة سريعة فائقة،
انها سوف تكون منع البرامج النصية عبر المواقع.

644
00:31:56,360 --> 00:32:00,160
كنت تريد استخدام كل htmlspecialchars
الوقت شيئا مدخلات المستخدم.

645
00:32:00,160 --> 00:32:01,580
منع حقن SQL.

646
00:32:01,580 --> 00:32:04,510
إذا كنت تفعل ذلك، كنت بالفعل
أفضل حالا مما كان هارفارد

647
00:32:04,510 --> 00:32:06,530
عندما حصلت على خرق.

648
00:32:06,530 --> 00:32:10,510
وتأكد من كلمات السر الخاصة بك
ليست في نص عادي.

649
00:32:10,510 --> 00:32:16,220
تأكد من القيام ليس فقط تجزئة اتجاه واحد
لهم ولكن الذي تستخدمه سرداب، وPHP

650
00:32:16,220 --> 00:32:18,670
وظيفة التي عرضتها يا رفاق.

651
00:32:18,670 --> 00:32:20,060
بهذه الطريقة، يجب أن تكون جيدة.

652
00:32:20,060 --> 00:32:25,830
>> أيضا، إذا كان أصدقائك تتيح لك تشغيل
حقن SQL البيانات على مواقعها على شبكة الإنترنت.

653
00:32:25,830 --> 00:32:28,140
تشغيل البرامج النصية عبر المواقع
في موقعيهما على الانترنت.

654
00:32:28,140 --> 00:32:33,720
وسترى الكثير من هذه المواقع
لديك من نصف طن من نقاط الضعف.

655
00:32:33,720 --> 00:32:40,400
إنه أمر لا يصدق كيف ننسى الكثير من الناس
لتطهير قواعد البيانات الخاصة بهم أو لجعل

656
00:32:40,400 --> 00:32:46,340
متأكد ما إدخال الشخص
ليس رمز البرنامج النصي.

657
00:32:46,340 --> 00:32:47,200
موافق.

658
00:32:47,200 --> 00:32:49,182
أنا نوعا من انتهت في وقت مبكر حقا.

659
00:32:49,182 --> 00:32:56,510
ولكن إذا كان أي شخص لديه أي أسئلة حول
أي شيء، يمكنك اطلاق النار لي سؤال.

660
00:32:56,510 --> 00:32:56,630
نعم.

661
00:32:56,630 --> 00:32:56,970
اذهب، اذهب.

662
00:32:56,970 --> 00:32:59,846
>> الحضور: أنا فقط أريد أن أسأل،
يمكنك شرح كيفية الملف

663
00:32:59,846 --> 00:33:03,160
تحميل يعمل بالضبط.

664
00:33:03,160 --> 00:33:03,480
>> LUCIANO ARANGO: نعم.

665
00:33:03,480 --> 00:33:06,350
لذلك اسمحوا لي أن تظهر لك الصورة
تحميل حقيقية سريعة.

666
00:33:06,350 --> 00:33:11,300
وبالتالي فإن تحميل ملف -

667
00:33:11,300 --> 00:33:14,500
المشكلة الطرافة لتحميل الملف
الآن هو أن -

668
00:33:14,500 --> 00:33:18,541
أنا ذاهب لفتح التعليمات البرمجية بحيث يا رفاق
راجع التعليمات البرمجية وراء الكواليس.

669
00:33:18,541 --> 00:33:22,390

670
00:33:22,390 --> 00:33:24,305
ويتم تحميله.

671
00:33:24,305 --> 00:33:28,030

672
00:33:28,030 --> 00:33:31,560
وهنا رمز لرافع الملف.

673
00:33:31,560 --> 00:33:33,980
>> نحاول الخوض في هذا
الدليل أكثر من هنا.

674
00:33:33,980 --> 00:33:37,380

675
00:33:37,380 --> 00:33:44,880
ونحن نحاول، وبمجرد أن إدخال
ملف، ملف isset - حتى عندما يكون هناك

676
00:33:44,880 --> 00:33:50,900
ملف في ملفات، تلك الصورة، ثم
نحن نحاول تحريكه هنا.

677
00:33:50,900 --> 00:33:51,910
نحن انتزاع ملف أكثر من هنا.

678
00:33:51,910 --> 00:33:58,350
هذه الطريقة POST، نوع، صورة، ملف.

679
00:33:58,350 --> 00:33:59,630
ونحن بصدد إرسال هذا الملف.

680
00:33:59,630 --> 00:34:03,910
ثم مرة واحدة نحصل عليه، وذلك بمجرد الملف
لديه صورة، ونحن نحاول إرساله

681
00:34:03,910 --> 00:34:05,060
لهذا الدليل.

682
00:34:05,060 --> 00:34:09,814
>> المشكلة هي أن الموقع ليس
السماح لي بالذهاب إلى هذا الدليل،

683
00:34:09,814 --> 00:34:12,239
لأنها لا تريد مني أن أعود.

684
00:34:12,239 --> 00:34:13,489
انها لا تريد مني ان اذهب -

685
00:34:13,489 --> 00:34:15,620

686
00:34:15,620 --> 00:34:17,070
يجب أن أذهب - هو تحميل حتى هنا.

687
00:34:17,070 --> 00:34:17,639
وهنا الصور.

688
00:34:17,639 --> 00:34:21,780
لدي ليذهب كل في طريق العودة إلى
بداية وضعه في هناك ثم

689
00:34:21,780 --> 00:34:23,820
اذهب وضعه في الدليل.

690
00:34:23,820 --> 00:34:30,000
لذلك إذا كنت اخوض نافذة الصالة،
وكنت أرغب في نقل ملف -

691
00:34:30,000 --> 00:34:30,409
[غير مسموع]

692
00:34:30,409 --> 00:34:32,159
يمكن أن نرى ذلك.

693
00:34:32,159 --> 00:34:37,940
إذا أردت أن نقل ملف، ولدي
لوضع اسم الملف ثم

694
00:34:37,940 --> 00:34:40,860
المسار الكامل أريد أن أرسلها إلى.

695
00:34:40,860 --> 00:34:45,110
>> وثم الملقم ليس
السماح لي بالعودة.

696
00:34:45,110 --> 00:34:46,929
وحتى انها ليست السماح
لي الحصول على هذا الملف.

697
00:34:46,929 --> 00:34:47,670
ولكن عادة -

698
00:34:47,670 --> 00:34:49,360
ولذلك لا يوجد رمز لل
تحميل ملف.

699
00:34:49,360 --> 00:34:52,260
لذلك عادة ما سيحدث هو أن
شخص ليس التحقق إذا ملفي

700
00:34:52,260 --> 00:34:57,920
ينتهي. الحياة السياسية في فرنسا، لذلك أنا
تريد أن تحقق.

701
00:34:57,920 --> 00:35:00,054
اسمحوا لي أن فتح مثال حقيقي جدا سريعة.

702
00:35:00,054 --> 00:35:07,766

703
00:35:07,766 --> 00:35:08,260
>> موافق.

704
00:35:08,260 --> 00:35:09,230
هذا الشخص المناسب -

705
00:35:09,230 --> 00:35:11,980
لذلك المثال اثنين هو التحقق
إذا preg_match -

706
00:35:11,980 --> 00:35:14,180
هنا هو أكثر من هنا -

707
00:35:14,180 --> 00:35:19,660
للتأكد من أن ينتهي
PHP، وهو أمر جيد.

708
00:35:19,660 --> 00:35:20,580
وهذا أمر جيد.

709
00:35:20,580 --> 00:35:22,820
ولكن هناك حقيقية كبيرة
المشكلة مع هذا.

710
00:35:22,820 --> 00:35:24,600
وهذا أمر جيد.

711
00:35:24,600 --> 00:35:44,190
ولكن إذا كان لي أن وضع ملف يسمى
myfavoritepicture.php.jpeg، لم أستطع

712
00:35:44,190 --> 00:35:50,060
لا يزال من المحتمل التخلص من الحياة السياسية في فرنسا
وتشغيل it.k هذا في PHP خطيرة.

713
00:35:50,060 --> 00:35:53,850
كنت لا تريد الشخص أن يكون قادرا
لتشغيل التعليمات البرمجية على موقع الويب الخاص بك.

714
00:35:53,850 --> 00:35:55,750
>> ولكن بعد ذلك. الحياة السياسية في فرنسا يسمح لها بالمرور.

715
00:35:55,750 --> 00:36:00,720
والفكرة هي ما تريد حقا القيام به
لم يتم اتخاذ الملفات، A. ولكن، حسنا، ما

716
00:36:00,720 --> 00:36:07,500
كنت تريد حقا القيام به هو التأكد من أن
تقرأ أنحاء العالم كله.

717
00:36:07,500 --> 00:36:08,720
وليس هناك شيء. فب في ذلك.

718
00:36:08,720 --> 00:36:10,500
ليس هناك. فب في
اسم الملف بأكمله.

719
00:36:10,500 --> 00:36:12,780
>> الحضور: ولكن هل يمكن أن
وضع. الحياة السياسية في فرنسا على النهاية.

720
00:36:12,780 --> 00:36:15,830
الملقمات لا يزال تشغيل التعليمات البرمجية.

721
00:36:15,830 --> 00:36:16,870
>> LUCIANO ARANGO: لا، انها لن
تشغيل في البداية.

722
00:36:16,870 --> 00:36:22,310
عليك أن تذهب إلى الوراء ومحاولة
لمعرفة ما إذا كان يمكنك -

723
00:36:22,310 --> 00:36:24,210
>> الحضور: لذلك علينا أن -

724
00:36:24,210 --> 00:36:26,020
حسنا، مجرد مجموعة أخرى تنطوي -

725
00:36:26,020 --> 00:36:26,936
>> LUCIANO ARANGO: نعم.

726
00:36:26,936 --> 00:36:29,230
>> الحضور: OK.

727
00:36:29,230 --> 00:36:31,486
>> LUCIANO ARANGO: نعم.

728
00:36:31,486 --> 00:36:31,900
موافق.

729
00:36:31,900 --> 00:36:32,865
أي أسئلة أخرى؟

730
00:36:32,865 --> 00:36:33,180
موافق.

731
00:36:33,180 --> 00:36:37,350
أنا ذاهب إلى ترك هذا الأمر وفرز
من محاولة لمعرفة ما إذا يا رفاق يمكن -

732
00:36:37,350 --> 00:36:40,490
تلك الأخرى هي أكثر قليلا
معقدة لأنها تتطلب الكثير

733
00:36:40,490 --> 00:36:44,050
المزيد من المعرفة من SQL من مجرد
بداية المعرفة على شبكة الإنترنت هو SQL و

734
00:36:44,050 --> 00:36:47,010
ما هو جافا سكريبت.

735
00:36:47,010 --> 00:36:49,730
ولكن انا ذاهب الى محاولة للحفاظ على هذا الأمر،
ونأمل يا رفاق تعلم

736
00:36:49,730 --> 00:36:53,230
عن هذا ومحاولة لإلقاء نظرة خاطفة على
ما يمكنك القيام به وكيف العديد من الأمثلة

737
00:36:53,230 --> 00:36:54,420
يمكنك من خلال الحصول على.

738
00:36:54,420 --> 00:36:56,020
>> أي شخص لديه أي دولة أخرى
أسئلة حول هذا الموضوع؟

739
00:36:56,020 --> 00:36:59,387

740
00:36:59,387 --> 00:37:00,350
المضي قدما.

741
00:37:00,350 --> 00:37:01,170
نعم، واطلاق النار، واطلاق النار.

742
00:37:01,170 --> 00:37:01,580
نعم، والمضي قدما.

743
00:37:01,580 --> 00:37:01,850
المضي قدما.

744
00:37:01,850 --> 00:37:02,310
>> الحضور: OK.

745
00:37:02,310 --> 00:37:08,870
حتى سمعت حول كيفية الاسعار ماجيك
غير آمنة بما فيه الكفاية.

746
00:37:08,870 --> 00:37:09,280
>> LUCIANO ARANGO: ما -

747
00:37:09,280 --> 00:37:10,110
ونقلت السحر؟

748
00:37:10,110 --> 00:37:10,595
>> الجمهور: نعم.

749
00:37:10,595 --> 00:37:15,445
لذلك يضيف - لذلك كلما كنت مدخلات
شيء، فإنه دائما يضيف الاقتباس.

750
00:37:15,445 --> 00:37:15,930
>> LUCIANO ARANGO: نعم.

751
00:37:15,930 --> 00:37:16,000
نعم.

752
00:37:16,000 --> 00:37:16,496
موافق.

753
00:37:16,496 --> 00:37:19,113
>> الحضور: وبعد ذلك على الرغم من أنه يعمل،
ولكن بعد ذلك أنا بحثت عنه.

754
00:37:19,113 --> 00:37:21,648
وقالت انها ليست جيدة.

755
00:37:21,648 --> 00:37:23,050
لكنني لست متأكدا من السبب.

756
00:37:23,050 --> 00:37:23,360
>> LUCIANO ARANGO: نعم.

757
00:37:23,360 --> 00:37:26,240
>> الجمهور: لا تستخدم ماجيك الاسعار،
لأنها ليست آمنة.

758
00:37:26,240 --> 00:37:26,360
>> LUCIANO ARANGO: OK.

759
00:37:26,360 --> 00:37:31,735
ونقلت ماجيك لذلك هو عند إدراج SQL
ويضيف بالفعل الاقتباس بالنسبة لك.

760
00:37:31,735 --> 00:37:33,520
>> الحضور: إنه دائما يضيف يقتبس
حول مهما كنت وضعت فيه.

761
00:37:33,520 --> 00:37:34,210
>> LUCIANO ARANGO: نعم.

762
00:37:34,210 --> 00:37:37,190
وبالتالي فإن المشكلة مع ذلك هو أن -

763
00:37:37,190 --> 00:37:38,445
سوف نلقي نظرة على -

764
00:37:38,445 --> 00:37:41,390
>> الحضور: كيف الحصول على
عبارة SQL؟

765
00:37:41,390 --> 00:37:44,690
أو أعتقد أنه يمكن أن يكون
مثل اقتباس حدد.

766
00:37:44,690 --> 00:37:49,030
>> LUCIANO ARANGO: نعم، تحتاج
ونقلت جيدة للSQL.

767
00:37:49,030 --> 00:37:52,900
>> الجمهور: لا، ولكن الخادم
يفعل ذلك بالنسبة لك.

768
00:37:52,900 --> 00:37:54,460
>> LUCIANO ARANGO: هذه الاقتباسات الصغيرة
الحق هنا، هذه الاقتباسات قليلا؟

769
00:37:54,460 --> 00:37:55,670
>> الجمهور: نعم.

770
00:37:55,670 --> 00:37:56,450
>> LUCIANO ARANGO: نعم.

771
00:37:56,450 --> 00:37:59,860
المشكلة هو أنه يمكنك
التعليق الخروج الماضي -

772
00:37:59,860 --> 00:38:05,770
حسنا، ما يمكنني القيام به هو أنني أستطيع التعليق
خروج - لذلك دعونا نلقي نظرة على - واسمحوا لي

773
00:38:05,770 --> 00:38:07,920
فتح ملف تحرير النص.

774
00:38:07,920 --> 00:38:09,610
اسمحوا لي فقط تعديل هذه
الحق هنا مباشرة.

775
00:38:09,610 --> 00:38:19,510

776
00:38:19,510 --> 00:38:20,400
موافق.

777
00:38:20,400 --> 00:38:23,710
يمكنك رؤية أن الرجال بشكل واضح؟

778
00:38:23,710 --> 00:38:29,730
ما يمكنني القيام به هو أنني أستطيع التعليق
من آخر واحد.

779
00:38:29,730 --> 00:38:32,190
وهذا التعليق من واحد آخر.

780
00:38:32,190 --> 00:38:36,760
ومن ثم سوف أضع واحد هنا، وضعت
كل الاشياء الضارة هنا.

781
00:38:36,760 --> 00:38:39,840

782
00:38:39,840 --> 00:38:42,630
>> وبالتالي فإن المستخدم في الواقع
إدخال، أليس كذلك؟

783
00:38:42,630 --> 00:38:45,230
المستخدم ليس إدخال
الأشياء، أليس كذلك؟

784
00:38:45,230 --> 00:38:47,430
هذا هو ما أنا ذاهب إلى إدخال كما
الشخص يحاول أن يحصل في الداخل.

785
00:38:47,430 --> 00:38:49,430
انا ذاهب الى وضعها في -

786
00:38:49,430 --> 00:38:59,290

787
00:38:59,290 --> 00:39:00,180
هذا هو علامة اقتباس واحد.

788
00:39:00,180 --> 00:39:01,760
انها مجرد متعرج عن طريق الخطأ.

789
00:39:01,760 --> 00:39:15,080

790
00:39:15,080 --> 00:39:19,400
ثم ما رمز
هو ذاهب الى القيام به -

791
00:39:19,400 --> 00:39:20,190
آسف، انا ذاهب الى اتخاذ ذلك.

792
00:39:20,190 --> 00:39:22,170
ما هو رمز بصدد القيام به هو
انها تسير لإضافة أول

793
00:39:22,170 --> 00:39:24,030
علامات الاقتباس هنا.

794
00:39:24,030 --> 00:39:26,040
وانه سيكون لإضافة مشاركة
علامة اقتباس كذلك.

795
00:39:26,040 --> 00:39:29,350

796
00:39:29,350 --> 00:39:33,270
>> وانها تسير أيضا إلى إضافة
مشاركة، آخر علامة اقتباس.

797
00:39:33,270 --> 00:39:37,380
ولكن أنا تعليقه هذه الاقتباس
علامات، لذلك أنها لا تعمل.

798
00:39:37,380 --> 00:39:41,440
وأنا الانتهاء من هذا الاقتباس
بمناسبة أكثر من هنا.

799
00:39:41,440 --> 00:39:42,290
هل تفهم؟

800
00:39:42,290 --> 00:39:43,750
هل فقدت؟

801
00:39:43,750 --> 00:39:45,880
يمكن أن أعلق على الاقتباس مشاركة
علامة، ورعاية

802
00:39:45,880 --> 00:39:46,680
أول علامة اقتباس.

803
00:39:46,680 --> 00:39:47,350
>> الحضور: والنهاية فقط
أول واحد.

804
00:39:47,350 --> 00:39:47,480
>> LUCIANO ARANGO: نعم.

805
00:39:47,480 --> 00:39:48,400
ومجرد الانتهاء من أول واحد.

806
00:39:48,400 --> 00:39:48,790
نعم، هذا صحيح.

807
00:39:48,790 --> 00:39:50,800
هذا ما يمكنني القيام به.

808
00:39:50,800 --> 00:39:51,890
نعم.

809
00:39:51,890 --> 00:39:52,980
أي أسئلة أخرى من هذا القبيل؟

810
00:39:52,980 --> 00:39:54,230
هذا هو السؤال الكبير.

811
00:39:54,230 --> 00:39:56,960

812
00:39:56,960 --> 00:39:59,790
لا، نعم، ربما.

813
00:39:59,790 --> 00:40:06,150
ونأمل يا رفاق نوع من جعل
أكثر منطقية عند دراسة SQL و

814
00:40:06,150 --> 00:40:06,650
أشياء من هذا القبيل.

815
00:40:06,650 --> 00:40:07,980
ولكن تأكد من أنك -

816
00:40:07,980 --> 00:40:10,340
تبقي هذه الأدوات في الساعة.

817
00:40:10,340 --> 00:40:12,760
آسف، هذه الأدوات أكثر من هنا.

818
00:40:12,760 --> 00:40:14,200
هذه الأدوات هي كبيرة.

819
00:40:14,200 --> 00:40:17,190
إذا كان أي شخص لديه أي أسئلة،
يمكنك البريد الالكتروني لي أيضا.

820
00:40:17,190 --> 00:40:19,020
هذا هو بريدي الإلكتروني العادي.

821
00:40:19,020 --> 00:40:25,015
وهذا هو العمل بريدي الإلكتروني، والتي
هو عندما أعمل في البحار.

822
00:40:25,015 --> 00:40:26,040
>> موافق، وذلك بفضل.

823
00:40:26,040 --> 00:40:26,740
شكرا، الرجال.

824
00:40:26,740 --> 00:40:27,860
كنت جيدة للذهاب.

825
00:40:27,860 --> 00:40:28,830
ليس لديك إلى البقاء هنا.

826
00:40:28,830 --> 00:40:29,570
لا تصفق.

827
00:40:29,570 --> 00:40:30,170
هذا غريب.

828
00:40:30,170 --> 00:40:31,420
موافق، وذلك بفضل، والرجال.

829
00:40:31,420 --> 00:40:32,320