1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> Luciano Arango: OK, uşaqlar. 3 00:00:10,300 --> 00:00:11,550 My name Luciano Arango edir. 4 00:00:11,550 --> 00:00:13,915 Mən Adams House bir sophomore deyiləm. 5 00:00:13,915 --> 00:00:17,550 Və biz söhbət etmək olacaq web təhlükəsizlik fəal müdafiə. 6 00:00:17,550 --> 00:00:24,220 Mən İnformasiya İdarəsi üçün iş Dənizlərdə Təhlükəsizlik. 7 00:00:24,220 --> 00:00:28,670 Və yay ərzində, mən internatura Informasiya olan SeguraTec, 8 00:00:28,670 --> 00:00:31,310 xidmət təhlükəsizlik şirkəti Columbia Bank üçün. 9 00:00:31,310 --> 00:00:34,740 Mən öyrəndim harada ki, əsasən var Mən bu günə qədər öyrəndim nə. 10 00:00:34,740 --> 00:00:37,990 >> Və biz istəyirik ki, maddi bəzi Bu gün artıq getmək, biz yoxdur 11 00:00:37,990 --> 00:00:39,670 həqiqətən sinif danışdıq. 12 00:00:39,670 --> 00:00:40,410 Amma biz tezliklə olacaq. 13 00:00:40,410 --> 00:00:42,360 Bu SQL, JavaScript kimi olacaq. 14 00:00:42,360 --> 00:00:44,870 Və biz, həqiqətən, bu artıq getdi. 15 00:00:44,870 --> 00:00:47,730 Mən onun vasitəsilə uçuş sort bilər bəzi şeyləri bilmirəm bilər. 16 00:00:47,730 --> 00:00:48,890 Lakin tezliklə, onu öyrənmək lazımdır. 17 00:00:48,890 --> 00:00:52,080 Və bütün mənada etmək lazımdır. 18 00:00:52,080 --> 00:00:54,010 Həmçinin başqa bir şey - 19 00:00:54,010 --> 00:00:55,780 etik qalmaq. 20 00:00:55,780 --> 00:01:00,560 Siz öyrənmək ki, bəzi şeyləri, siz qeyri-etik yollarla istifadə edə bilər. 21 00:01:00,560 --> 00:01:01,950 >> Bu, sizin deyil, əgər mütləq cəhd edin. 22 00:01:01,950 --> 00:01:04,500 Mən mütləq uşaqlar həvəsləndirmək Öz server cəhd cəhd 23 00:01:04,500 --> 00:01:05,519 onların içərisində gedir. 24 00:01:05,519 --> 00:01:08,500 Əgər siz onları nüfuz edə bilər, əgər baxın, Əgər siz onları daxilində əldə edə bilərsiniz əgər. 25 00:01:08,500 --> 00:01:09,560 Amma hər kəsdən. 26 00:01:09,560 --> 00:01:12,390 Cops həqiqətən kimi zarafatlar və yoxdur bütün, biz burada bu qoydu. 27 00:01:12,390 --> 00:01:14,040 Biz ətrafında messing edilmişdir. 28 00:01:14,040 --> 00:01:15,780 Onlar, həqiqətən qəzəbli almaq. 29 00:01:15,780 --> 00:01:18,700 >> Belə ki, bu veb üzərində rəhbərlik. 30 00:01:18,700 --> 00:01:23,560 Mən burada açıldı. 31 00:01:23,560 --> 00:01:26,780 Bu veb və bu, nümunələri bir dəstə var. 32 00:01:26,780 --> 00:01:30,000 Nə olar ki, ilk nümunəsi sort bir çox daha asan olacaq 33 00:01:30,000 --> 00:01:33,470 bir mənada son misal çox ki, ilk nümunəsi 34 00:01:33,470 --> 00:01:34,970 tamamilə etibarsız edir. 35 00:01:34,970 --> 00:01:40,850 Və son bir sort nə bir deyil normal web təhlükəsizlik şəxs olardı. 36 00:01:40,850 --> 00:01:42,760 Amma siz hələ sort bilərsiniz ki, ətrafında almaq. 37 00:01:42,760 --> 00:01:44,860 Və biz bir diqqət olacaq və iki nümunələri bir və iki. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Nin cross-site scripting ilə başlamaq edək. 41 00:01:52,780 --> 00:01:56,100 JavaScript run müştərinin browser. 42 00:01:56,100 --> 00:01:59,980 Bu istifadə bir proqramlaşdırma dili müştərinin browser belə çalıştırmak üçün 43 00:01:59,980 --> 00:02:04,120 Siz web yeniləmə yoxdur və server geri gedin. 44 00:02:04,120 --> 00:02:04,940 Siz çalışan var. 45 00:02:04,940 --> 00:02:08,870 Məsələn, Facebook, siz yoxdur yeni statusu veb yeniden 46 00:02:08,870 --> 00:02:09,710 yenilikləri gəlmək. 47 00:02:09,710 --> 00:02:12,170 Bu yaratmaq üçün JavaScript istifadə edir bütün bu şeylər. 48 00:02:12,170 --> 00:02:16,290 Beləliklə, biz zərərli JavaScript yeritmək bilər web sites daxil. 49 00:02:16,290 --> 00:02:20,890 Və yol, biz bir link göndərmək kimsə, biz sort ilə göndərmək bilər 50 00:02:20,890 --> 00:02:23,050 biz istəyirik ki, kodu bəzi. 51 00:02:23,050 --> 00:02:26,450 >> Davamlı və qeyri-davamlı var JavaScript - 52 00:02:26,450 --> 00:02:30,640 davamlı və qeyri-davamlı cross-site scripting, demək. 53 00:02:30,640 --> 00:02:33,760 Və fərq israrlı olan olacaq JavaScript edir 54 00:02:33,760 --> 00:02:36,060 saytında saxlanılır. 55 00:02:36,060 --> 00:02:39,780 Və qeyri-davamlı JavaScript olacaq ki, həqiqətən, yalnız bir dəfə baş verəcək. 56 00:02:39,780 --> 00:02:41,795 Belə bir misal baxaq real sürətli. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Belə ki, bu veb sadə, burada heç bir şey olur. 60 00:02:51,620 --> 00:02:53,070 Və biz cəhd olacaq bəzi JavaScript daxil edin. 61 00:02:53,070 --> 00:02:58,110 Beləliklə, biz JavaScript yazmağa başlayın yolu biz başlayan script ilə başlayın. 62 00:02:58,110 --> 00:03:00,570 Və biz script ilə bağlayın. 63 00:03:00,570 --> 00:03:03,770 Biz sadəcə bir mesaj qoymaq olacaq - 64 00:03:03,770 --> 00:03:05,410 Mən sizə göstərmək lazımdır - 65 00:03:05,410 --> 00:03:06,500 alert. 66 00:03:06,500 --> 00:03:11,150 Alert bir funksiyası olduğunu JavaScript bir şey keçirmək üçün istifadə edir. 67 00:03:11,150 --> 00:03:12,400 Belə ki, real sürətli cəhd edək. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Mən getmək üçün alert salam gedirəm. 70 00:03:18,944 --> 00:03:20,400 Yaxşı, mən qoymaq unuttum - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Belə ki, sadə. 74 00:03:26,540 --> 00:03:28,730 >> Biz veb JavaScript qoymaq, və bu qədər gəldi. 75 00:03:28,730 --> 00:03:31,200 Və bu növ yalnız baş bizim saytda, sağ? 76 00:03:31,200 --> 00:03:33,040 Bu deyil kimi belə görünür bir problem, sağ? 77 00:03:33,040 --> 00:03:34,920 Mən demək, necə istifadə edə bilər Bu pis niyetle? 78 00:03:34,920 --> 00:03:39,930 Hakerlər nə qədər ki, yol Bu, həqiqətən sadədir. 79 00:03:39,930 --> 00:03:40,970 Onlar onu qapmaq olacaq. 80 00:03:40,970 --> 00:03:43,750 Onlar sizin üçün bu linki göndərə bilərsiniz. 81 00:03:43,750 --> 00:03:46,780 İndi siz bu link göndərmək lazımdır əgər, və onu açmaq, bu olacaq 82 00:03:46,780 --> 00:03:51,620 deyərək, hello, demək ki, mənim veb salam söyləyirəm. 83 00:03:51,620 --> 00:03:57,280 >> Və mən bir şey demək olsaydı az asan, mən qoparmaq əgər 84 00:03:57,280 --> 00:03:59,880 JavaScript funksiyası I növ artıq yazdı - 85 00:03:59,880 --> 00:04:03,940 Siz baxmaq əgər, mən gedəcəyəm Mən bunu yazdı əvvəl artıq. 86 00:04:03,940 --> 00:04:06,650 Beləliklə, biz bir zaman aşımı müəyyən olacaq. 87 00:04:06,650 --> 00:04:08,450 Biz gözləmək olacaq bir neçə saniyə. 88 00:04:08,450 --> 00:04:13,970 Əgər Əslində, biz gözləmək olacaq Mən, beş saniyə səhv deyiləm. 89 00:04:13,970 --> 00:04:15,870 Bu ms gedir. 90 00:04:15,870 --> 00:04:18,640 Və sonra biz nə olacaq, biz istəyirik edir bildirmek üçün gedən giriş 91 00:04:18,640 --> 00:04:21,459 da geri daxil etmək başa çatmışdır 92 00:04:21,459 --> 00:04:23,990 Və biz yerini dəyişmək olacaq bir yere. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Mən kimsə bu veb göndərmək əgər, onlar olacaq 95 00:04:32,970 --> 00:04:34,380 sakit, ətrafında gəzən. 96 00:04:34,380 --> 00:04:35,650 Heç bir şey baş verir. 97 00:04:35,650 --> 00:04:38,550 Və beş saniyə, gedir demək, giriş başa çatmışdır. 98 00:04:38,550 --> 00:04:40,200 Da geri daxil edin 99 00:04:40,200 --> 00:04:43,400 Onlar OK basın sonra, mən gedirəm Başqa bir web onları almaq. 100 00:04:43,400 --> 00:04:45,980 Ehtimal ki, veb olacaq saytına oxşar ola ki, 101 00:04:45,980 --> 00:04:47,280 Onlar əvvəl idi. 102 00:04:47,280 --> 00:04:50,770 Onlar daxil olacaq onların mənim web yerinə daxil etimadnaməsini 103 00:04:50,770 --> 00:04:51,850 onların veb. 104 00:04:51,850 --> 00:04:54,780 >> Və mən, onlara göndərə bilərsiniz bu link e-poçt. 105 00:04:54,780 --> 00:04:56,240 Mən oh, burada bir link var, deyirlər. 106 00:04:56,240 --> 00:04:57,290 Bu, misal üçün, bir bank deyil. 107 00:04:57,290 --> 00:05:01,390 Mən burada, demək bu link getmək. 108 00:05:01,390 --> 00:05:03,730 Onlar göndərmək Və bir dəfə, onlar ətrafında gəzən olacaq. 109 00:05:03,730 --> 00:05:07,560 Mən 15 saniyə, 20 saniyə gözləmək olar, və sonra geri daxil edin pop 110 00:05:07,560 --> 00:05:08,840 geri imzalamaq. 111 00:05:08,840 --> 00:05:10,120 Siz uşaqlar ilə cəhd edə bilərsiniz daha çox şeylər. 112 00:05:10,120 --> 00:05:13,190 Bu çətin uşaqlar, çünki JavaScript görüldü, belə ki yoxdur 113 00:05:13,190 --> 00:05:14,750 bəzi funksiyaları bilmirəm. 114 00:05:14,750 --> 00:05:18,625 Amma nə üçün bütün bir başlanğıc ssenari ilə, script ilə başa. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 Və bir şey qoymaq bilər ortada. 117 00:05:25,510 --> 00:05:27,350 >> Alert üçün gözləmək, bir funksiyası var. 118 00:05:27,350 --> 00:05:29,365 Window yer götürür yeni bir yeri. 119 00:05:29,365 --> 00:05:31,370 Amma çox daha çox edə bilərsiniz. 120 00:05:31,370 --> 00:05:32,630 Və belə fikir ki, biz çıxarmaq. 121 00:05:32,630 --> 00:05:39,350 Mən məsələn iki getmək və mən əgər bu kodu qoymaq, bu 122 00:05:39,350 --> 00:05:40,210 işləmək niyyətində deyil. 123 00:05:40,210 --> 00:05:43,620 Belə ki, çünki hər şeyi çap edir nə Bu veb ilk 124 00:05:43,620 --> 00:05:50,350 Mən burada bir şey qoymaq əgər etmir, Bu sağ burada çap edəcəyik. 125 00:05:50,350 --> 00:05:52,390 Belə ki, bir şey çap deyil. 126 00:05:52,390 --> 00:05:55,560 Bu, misal həqiqətən yoxlanılması olunur script var görmek üçün. 127 00:05:55,560 --> 00:05:57,163 Belə ki, Bəli, davam. 128 00:05:57,163 --> 00:05:57,606 Mənə soruş. 129 00:05:57,606 --> 00:05:59,560 >> Auditoriya: göndərilməsi deyil bir almaq və ya sorğu göndərin? 130 00:05:59,560 --> 00:06:00,670 >> Luciano Arango: Bəli. onlar bir get sorğu göndərməklə. 131 00:06:00,670 --> 00:06:01,350 >> Auditoriya: Bu nədir? 132 00:06:01,350 --> 00:06:02,490 >> Luciano Arango: Bəli. 133 00:06:02,490 --> 00:06:04,030 Həmçinin brauzerlər post sorğu istifadə edin. 134 00:06:04,030 --> 00:06:07,470 Amma get sorğu göstərməyə çalışıram biz nə edə bilərsiniz, belə ki, 135 00:06:07,470 --> 00:06:10,760 həqiqətən gedir. 136 00:06:10,760 --> 00:06:12,880 Və biz bu kodu baxsaq - belə ki, artıq iş deyil. 137 00:06:12,880 --> 00:06:24,870 Və biz bu kodu bir nəzər, Məsələn iki olacaq. 138 00:06:24,870 --> 00:06:29,300 Bu şəxs nə, şəxs Bu brauzer məsul - 139 00:06:29,300 --> 00:06:35,370 OK, açmaq - 140 00:06:35,370 --> 00:06:39,290 sözü script əvəz edir. 141 00:06:39,290 --> 00:06:42,850 Bu PHP, siz uşaqlar bilər hələ bir az gördük. 142 00:06:42,850 --> 00:06:46,250 >> O, yalnız əvəz oldu adı ilə söz script. 143 00:06:46,250 --> 00:06:50,895 Belə ki, lakin, Mən irəli getmək əgər və yalnız qoymaq - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 Mən yenə mənim kodu qamarlamaq və gedirəm əgər Bu, sadəcə bir az dəyişdirmək üçün. 146 00:07:02,360 --> 00:07:15,010 Əvəzində script, mən gedirəm bir paytaxt R. Və script üçün 147 00:07:15,010 --> 00:07:16,390 biz bu kodu işləri görmək olacaq. 148 00:07:16,390 --> 00:07:19,090 Belə ki, onu çap etmədi bir yaxşı əlamətidir. 149 00:07:19,090 --> 00:07:21,990 Və inşallah daha iki saniyə, onu pop üçün olacaq. 150 00:07:21,990 --> 00:07:22,820 >> Sizin giriş başa çatmışdır. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Yəni bütün doğru. 153 00:07:24,460 --> 00:07:27,670 Belə ki, script yoxlanılması bilər mütləq iş deyil. 154 00:07:27,670 --> 00:07:28,130 Şəxs - 155 00:07:28,130 --> 00:07:32,290 bu da script böyük kontrol edə bilərsiniz, script kiçik küç halda 156 00:07:32,290 --> 00:07:34,180 onlar eyni etdiyiniz əmin olun müqayisə. 157 00:07:34,180 --> 00:07:38,480 Amma hacker hələ nə növ edə bilərsiniz biz köçürülüb zaman biz Vigenere etdi 158 00:07:38,480 --> 00:07:40,620 geri bir neçə simvol, irəli hərəkət. 159 00:07:40,620 --> 00:07:43,470 Və bu script qoymaq üçün necə anlamaq olar geri yeritmək bilər, belə ki, orada 160 00:07:43,470 --> 00:07:44,460 ki, script. 161 00:07:44,460 --> 00:07:50,370 >> Beləliklə, nə siz istifadə etmək istədiyiniz htmlspecialchars edir 162 00:07:50,370 --> 00:07:51,330 Sizin veb qorumaq. 163 00:07:51,330 --> 00:07:56,490 Və nə bu edir Siz qoymaq nə - 164 00:07:56,490 --> 00:07:59,610 məsələn, kotirovkaların və ya bu - böyük və ya daha az 165 00:07:59,610 --> 00:08:04,701 bir şey ilə əvəz olunur olmayacaq - 166 00:08:04,701 --> 00:08:05,951 Mənə burada zoom imkan - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 faktiki işareti. 169 00:08:09,685 --> 00:08:13,420 O xüsusi HTML əvəz edəcək biz olduğunuzda biz görmək lazımdır ki, simvol 170 00:08:13,420 --> 00:08:14,670 söhbət - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 oh, bu məni geri almaq niyyətindədir - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 burada bu simvol. 175 00:08:25,380 --> 00:08:28,180 >> Bu, demek ki, bir şey gəlir. 176 00:08:28,180 --> 00:08:31,570 HTML ki, başlayan bracket üçün bizə deyir ki, bir şey 177 00:08:31,570 --> 00:08:33,299 Əlaqədar HTML gəlir. 178 00:08:33,299 --> 00:08:33,980 Və biz xilas etmək istəyirik. 179 00:08:33,980 --> 00:08:36,200 Biz daxil HTML qoymaq istəmirəm website.k Biz istifadəçi olmaq istəmirəm 180 00:08:36,200 --> 00:08:40,260 öz saytında bir şey qoymaq edə kimi, onların veb təsir edə bilər 181 00:08:40,260 --> 00:08:43,480 script və ya HTML və ya kimi bir şey. 182 00:08:43,480 --> 00:08:53,090 Nə vacib deyil ki, siz istifadəçi daxil sanitize. 183 00:08:53,090 --> 00:08:54,720 >> Belə ki, istifadəçilər input çox şeyi bilər. 184 00:08:54,720 --> 00:08:58,110 O, giriş cəhd məhsullarının bir dəstə bilər hələ brauzerinizin bezemek 185 00:08:58,110 --> 00:08:59,410 Bu script kodu çalışan. 186 00:08:59,410 --> 00:09:02,870 Nə istəyirəm yalnız baxmaq deyil script üçün, lakin hər şey üçün baxmaq 187 00:09:02,870 --> 00:09:04,250 ki, zərərli ola bilər. 188 00:09:04,250 --> 00:09:06,800 Və htmlspecialchars edəcəyik sizin üçün, belə ki, yoxdur 189 00:09:06,800 --> 00:09:07,340 bu barədə narahat. 190 00:09:07,340 --> 00:09:12,280 Amma özünüz üçün cəhd etməyin sort öz kodu ilə. 191 00:09:12,280 --> 00:09:14,055 Hər kəs XSS aydındır? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 SQL injection gedək. 194 00:09:16,355 --> 00:09:21,010 Belə ki, SQL injection yəqin ki, bir nömrəli açığı 195 00:09:21,010 --> 00:09:22,490 müxtəlif web. 196 00:09:22,490 --> 00:09:24,350 Mən yaxşı bir nümunə demək - 197 00:09:24,350 --> 00:09:27,350 Mən yalnız uzaq tədqiq edilmişdir Bu şey üçün. 198 00:09:27,350 --> 00:09:34,430 Mən bu zəhmli məqalə, aşkar yerləşir Mən Harvard pozulub ki, gördüm, 199 00:09:34,430 --> 00:09:35,390 hücumu olub. 200 00:09:35,390 --> 00:09:37,370 Mən, yaxşı, merak Onlar nə olardı? 201 00:09:37,370 --> 00:09:41,660 Harvard, ən zəhmli var ən heç universitet təmin edir. 202 00:09:41,660 --> 00:09:43,850 Sağ? 203 00:09:43,850 --> 00:09:45,410 Yaxşı, server pozulması üçün, hakerlər istifadə 204 00:09:45,410 --> 00:09:47,710 SQL injection adlı texnika. 205 00:09:47,710 --> 00:09:50,250 >> Belə ki, bu gün əsasında bir gün olur. 206 00:09:50,250 --> 00:09:53,590 İnsanlar hesab etmək unutmaq SQL inyeksiya üçün. 207 00:09:53,590 --> 00:09:54,930 Harvard yoxdur. 208 00:09:54,930 --> 00:10:00,050 Mən, Princeton, burada deyir ki, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Belə ki, necə biz - bu SQL nədir bütün bu cəlb edir ki injection 210 00:10:03,550 --> 00:10:05,668 insanlar aşağı? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Belə ki, SQL bir proqramlaşdırma dilidir ki, biz verilənlər bazası daxil olmaq üçün istifadə edin. 213 00:10:12,090 --> 00:10:14,560 Biz nə biz seçin edir - 214 00:10:14,560 --> 00:10:18,510 belə ki, nə bu indi oxuyur seçin edir Cədvəldən hər şey. 215 00:10:18,510 --> 00:10:22,640 >> SQL, bu verilənlər bazası daxil dəyişir məlumat tam masalar var. 216 00:10:22,640 --> 00:10:26,550 Belə ki, istifadəçilər hər şeyi seçin adı adı yerləşir. 217 00:10:26,550 --> 00:10:28,120 Sağ? 218 00:10:28,120 --> 00:10:30,770 Kifayət qədər sadə. 219 00:10:30,770 --> 00:10:34,490 SQL injection ideyası ki, biz bəzi zərərli kodu daxil təqdirdə 220 00:10:34,490 --> 00:10:37,270 bir şey çalışan server bezemek nə çox müxtəlif 221 00:10:37,270 --> 00:10:38,430 ilk çalışan edilmişdir. 222 00:10:38,430 --> 00:10:44,970 Belə ki, istifadəçi adı üçün deyək, biz qoymaq və ya 1 1 bərabərdir. 223 00:10:44,970 --> 00:10:46,700 Beləliklə, biz qoymaq və ya 1 1 bərabərdir. 224 00:10:46,700 --> 00:10:49,890 İndi oxuyacağınız yol seçin olacaq users, hər şey-dən 225 00:10:49,890 --> 00:10:51,360 users - Bu hər şey - 226 00:10:51,360 --> 00:10:55,880 adı adı, lakin burada istifadəçi adı və ya 1 1 bərabərdir. 227 00:10:55,880 --> 00:11:01,760 >> Belə ki, adı heç bir şey və ya 1 1 bərabərdir. 228 00:11:01,760 --> 00:11:04,060 1 1 həmişə doğrudur bərabərdir. 229 00:11:04,060 --> 00:11:07,690 Belə ki, bu həmişə məlumat qayıdacaqlar istifadəçilər. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Biz var ehtiyac yoxdur doğru adı. 232 00:11:10,030 --> 00:11:14,240 Biz yalnız biz istəyirik ki, bir şey ola bilər, və bu məlumat qayıdacaqlar 233 00:11:14,240 --> 00:11:15,690 biz lazımdır. 234 00:11:15,690 --> 00:11:17,160 Başqa bir misal baxaq. 235 00:11:17,160 --> 00:11:22,720 >> Biz istifadəçi hər şeyi seçin varsa, adı DROP TABLE users olduğu - 236 00:11:22,720 --> 00:11:26,420 belə ki, nə düşünürsünüz bu iradə nə mən istifadəçi adı qoymaq əgər 237 00:11:26,420 --> 00:11:29,560 DROP TABLE istifadəçilər? 238 00:11:29,560 --> 00:11:30,230 Hər kəs bir fikir var? 239 00:11:30,230 --> 00:11:31,050 Bəli. 240 00:11:31,050 --> 00:11:32,470 >> Auditoriya: Bu demək olacaq bütün masalar kötük. 241 00:11:32,470 --> 00:11:35,460 >> Luciano Arango: Bu bizə olacaq web hər şeyi atmaq, 242 00:11:35,460 --> 00:11:38,290 bazasında hər şey. 243 00:11:38,290 --> 00:11:41,910 Və nə insanlar üçün istifadə - belə Mən sizə uşaqlar göstərmək üçün gedirəm. 244 00:11:41,910 --> 00:11:45,462 Mən masalar düşmə aradan Mən sizi istəmir, çünki 245 00:11:45,462 --> 00:11:48,240 uşaqlar mənim masalar düşməsi. 246 00:11:48,240 --> 00:11:49,850 Bu bir nəzər salaq. 247 00:11:49,850 --> 00:11:54,410 Belə ki, bu sadəcə məlumat çıxarmaz müəyyən bir şəxs üçün. 248 00:11:54,410 --> 00:11:57,550 Bu əgər Belə ki, necə biz bilirik SQL injection təsirləndi. 249 00:11:57,550 --> 00:12:01,545 Biz real sürətli yoxlamaq olacaq biz bir şey qoymaq bilər - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 görüntülərini kodu surəti imkan verir. 252 00:12:06,080 --> 00:12:08,140 Mən ikinci artıq getmək üçün gedirəm. 253 00:12:08,140 --> 00:12:12,210 Mən kök qoymaq gedirəm və 1 1 bərabərdir. 254 00:12:12,210 --> 00:12:15,510 >> Bu burada, bu faiz işarəsi 23 - 255 00:12:15,510 --> 00:12:19,970 həqiqətən nə, əgər mən sağ burada baxmaq - 256 00:12:19,970 --> 00:12:23,820 Əgər HTML, ədəd alır yolu Mən bir məkanda qoymaq zaman nəzər 257 00:12:23,820 --> 00:12:28,380 burada - I yer bir şey olsaydı burada, bir faiz 2 dəyişir. 258 00:12:28,380 --> 00:12:31,420 Uşaqlar burada bu görürsünüz Mən bir məkanda qoymaq zaman? 259 00:12:31,420 --> 00:12:36,710 Bu işləri yolu ki, yalnız bilərsiniz edir HTML vasitəsilə ASCII dəyərlər göndərin. 260 00:12:36,710 --> 00:12:40,330 Belə ki, məsələn, əvəz yüzdə 20 ilə bir məkan. 261 00:12:40,330 --> 00:12:41,970 Bilmirəm əgər uşaqlar əvvəl görmüşəm. 262 00:12:41,970 --> 00:12:45,100 >> Bu faiz 23 ilə bir hashtag əvəz edir. 263 00:12:45,100 --> 00:12:50,840 Biz sonunda və ya bir hashtag lazımdır Şərhdə biz deyə bilərik ki, 264 00:12:50,840 --> 00:13:00,885 şərh unutmayın bazası sonunda bu son nöqtəli vergül. 265 00:13:00,885 --> 00:13:03,060 Biz bu barədə düşünmək istəyirəm. 266 00:13:03,060 --> 00:13:05,980 Biz yalnız hər şeyi run etmək istəyirəm biz əvvəlcədən var ki, 267 00:13:05,980 --> 00:13:07,450 ki, şərh. 268 00:13:07,450 --> 00:13:08,710 Bunun bir nəzər salaq. 269 00:13:08,710 --> 00:13:14,670 >> Mən yanlış bir şey qoymaq idi əgər - Məsələn üçün deyək, I 2 bərabər qoymaq 270 00:13:14,670 --> 00:13:15,690 1, mənə bir şey vermir. 271 00:13:15,690 --> 00:13:22,930 Mən 1 qoymaq zaman 1 bərabərdir və bu, yoxdur bir şey geri, bu mənə deyir ki, 272 00:13:22,930 --> 00:13:24,660 Bu həssas bir SQL injection. 273 00:13:24,660 --> 00:13:29,090 Mən indi bilirəm ki, nə Bu sonra qoymaq - 274 00:13:29,090 --> 00:13:39,110 və məsələn, Masaların DROP və ya kimi bir şey 275 00:13:39,110 --> 00:13:41,190 mütləq işləyəcək. 276 00:13:41,190 --> 00:13:44,350 Mən SQL injection həssas olduğunu bilirik Mən bilirəm ki, çünki 277 00:13:44,350 --> 00:13:49,850 başlıq altında, bu imkan var Mənə 1 1 şey bərabərdir yoxdur. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> Və biz bu digər olanları baxsaq, sayı iki və sayı üç, bu 281 00:13:56,540 --> 00:13:59,110 bir az daha nə və altında yoxlanılması 282 00:13:59,110 --> 00:14:03,680 bu nə başlıq. 283 00:14:03,680 --> 00:14:07,425 Belə ki, hər kəs açılan imkan hələ bir şey və ya cəhd? 284 00:14:07,425 --> 00:14:08,760 Sizlərin sort hələ SQL almaq mı? 285 00:14:08,760 --> 00:14:10,430 Mən bilirəm çünki uşaqlar yoxdur hələ görməmişik, belə ki, bu cür var 286 00:14:10,430 --> 00:14:11,759 Siz uşaqlar üçün çaşdırıcı. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Bir nəzər salaq. 289 00:14:18,480 --> 00:14:21,270 Belə ki, SQLI qarşısını almaq üçün yolu nədir? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Belə ki, bu həqiqətən vacibdir siz, çünki uşaqlar mütləq qarşısını almaq istəyirəm 292 00:14:23,330 --> 00:14:24,090 bu web. 293 00:14:24,090 --> 00:14:28,040 >> Əgər, bütün dostlara gedir onlar bütün açılan zaman lağ etmək 294 00:14:28,040 --> 00:14:29,390 masalar. 295 00:14:29,390 --> 00:14:36,150 Belə ki, fikir SQL təmir ki, müəyyən bir şəkildə, halbuki siz uyğun 296 00:14:36,150 --> 00:14:41,940 nə ilə istifadəçi giriş müəyyən bir string. 297 00:14:41,940 --> 00:14:46,120 Belə ki, bu işləri yolu deyil bazası hazırlayır. 298 00:14:46,120 --> 00:14:50,830 Siz adı, rəng, və kalori seçin bir verilənlər bazası adlı meyvə. 299 00:14:50,830 --> 00:14:53,580 Və sonra kalori, az olduğu və biz bir sual işarəsi qoymaq 300 00:14:53,580 --> 00:14:56,530 biz daxil olacaq deyərək ikinci bir şey. 301 00:14:56,530 --> 00:14:58,850 >> Və rəng bərabərdir və biz bir sual qoymaq mark biz olacaq deyərək 302 00:14:58,850 --> 00:15:00,913 Giriş ikinci bir şey də. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 Və sonra biz qoyaraq, icra 150 və qırmızı. 305 00:15:09,920 --> 00:15:12,820 Və bu etmək üçün kontrol əmin bu iki ki - 306 00:15:12,820 --> 00:15:15,300 Bu array kontrol ki, bu iki bir tam və 307 00:15:15,300 --> 00:15:16,550 bu bir simli olduğunu. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Sonra getmək və biz almaq bütün, biz qırmızı qoyun. 310 00:15:20,890 --> 00:15:21,964 Yəni biz bütün almaq deməkdir. 311 00:15:21,964 --> 00:15:26,790 Bu biz, həqiqətən, SQL icra deməkdir bəyanat və qırmızı onu geri qoymaq. 312 00:15:26,790 --> 00:15:30,530 Burada biz eyni, lakin biz sarı üçün eyni. 313 00:15:30,530 --> 00:15:32,490 Və biz bütün almaq. 314 00:15:32,490 --> 00:15:36,140 >> Və bu şəkildə, biz istifadəçi qarşısını almaq daxil bir şey edə olan 315 00:15:36,140 --> 00:15:41,710 ki, biz müəyyən nə, bir simli deyil və ya tam, misal üçün. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Mən əvvəllər söhbət başqaları əsaslanaraq. 318 00:15:46,610 --> 00:15:50,010 Uşaqlar üçün layihə başlamaq zaman, siz ən mütləq istifadə etmək olacaq 319 00:15:50,010 --> 00:15:52,310 bootstrap və ya oxşar bir şey. 320 00:15:52,310 --> 00:15:53,490 Sizlərin heç Wordpress istifadə? 321 00:15:53,490 --> 00:15:57,170 Yəqin ki, siz uşaqlar istifadə Wordpress çox güman ki,. 322 00:15:57,170 --> 00:16:00,050 Belə ki, istifadə ilə problem digər insanların şeyi - 323 00:16:00,050 --> 00:16:05,940 Mən yalnız Google real İSTƏDİKLƏRİMƏ gedirəm Wordpress açığı. 324 00:16:05,940 --> 00:16:07,495 >> İndi bu qoparmaq varsa - 325 00:16:07,495 --> 00:16:08,995 Mən sanki iki ikinci Google etdi. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Biz Wordpress bilərsiniz - 328 00:16:13,800 --> 00:16:17,450 Bu '12 Sentyabrın kimi aid edilir. 329 00:16:17,450 --> 00:16:19,120 26 yenilənir. 330 00:16:19,120 --> 00:16:23,620 Wordpress default konfiqurasiya 3.6 Bu qarşısını almaq deyil əvvəl 331 00:16:23,620 --> 00:16:27,110 müəyyən yüklenenler olan qüdrəti üçün daha asan 332 00:16:27,110 --> 00:16:29,790 cross-site scripting hücumlarını. 333 00:16:29,790 --> 00:16:34,530 Belə ki, tez hekayə, bir dəfə biz iş ilə - mən bir iş, yayda idi 334 00:16:34,530 --> 00:16:34,970 staj. 335 00:16:34,970 --> 00:16:40,400 Və biz növ ilə iş böyük bir kredit kartı şirkəti kimi. 336 00:16:40,400 --> 00:16:42,020 >> Onlar deyilən bir şey etibar - 337 00:16:42,020 --> 00:16:45,740 Sizlərin heç oynamışdır əgər mən bilmirəm Joomla adlı məhsul ilə. 338 00:16:45,740 --> 00:16:51,750 Joomla üçün istifadə olunur ki, bir məhsul nəzarət - növ oxşar 339 00:16:51,750 --> 00:16:54,340 Web yaratmaq üçün istifadə Wordpress. 340 00:16:54,340 --> 00:16:56,060 Belə ki, onlar öz veb idi Joomla iş. 341 00:16:56,060 --> 00:16:59,290 Bu, həqiqətən bir kredit kartı Kolumbiya şirkət. 342 00:16:59,290 --> 00:17:01,000 Mən sizə almaq lazımdır onların veb real sürətli. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Belə ki, onlar Joomla istifadə. 345 00:17:05,400 --> 00:17:08,630 Onlar Joomla updated deyildi son əlavə. 346 00:17:08,630 --> 00:17:12,160 Və belə ki, biz nəzər alaraq zaman onların kodu, biz, həqiqətən bacardıq 347 00:17:12,160 --> 00:17:18,430 kodlarla daxilində getmək və oğurlamaq bütün onlar ki, kredit kartı məlumat, 348 00:17:18,430 --> 00:17:21,670 bütün kredit kartı nömrələri, adları, ünvanları. 349 00:17:21,670 --> 00:17:22,740 Və bu yalnız idi - 350 00:17:22,740 --> 00:17:23,569 və onların kodu mükəmməl gözəl idi. 351 00:17:23,569 --> 00:17:24,710 Onlar böyük kodu idi. 352 00:17:24,710 --> 00:17:25,389 Bu, bütün təhlükəsizlik idi. 353 00:17:25,389 --> 00:17:26,520 Onlar bütün verilənlər bazası yoxlanılır. 354 00:17:26,520 --> 00:17:29,020 Onlar cross-site əmin etdi scripting gözəl idi. 355 00:17:29,020 --> 00:17:34,390 >> Lakin onlar deyil ki, bir şey istifadə yenilənir ki, təhlükəsiz deyildi. 356 00:17:34,390 --> 00:17:36,940 Və onları səbəb - belə ki, uşaqlar mütləq digər istifadə edir 357 00:17:36,940 --> 00:17:40,650 xalq kodu, digər insanların çərçivələr Sizin veb qurmaq. 358 00:17:40,650 --> 00:17:43,860 Onlar təhlükəsiz etdiyiniz əmin olun, çünki bəzən ki, biri deyil 359 00:17:43,860 --> 00:17:44,480 bir səhv edir. 360 00:17:44,480 --> 00:17:47,440 Amma başqasının səhv edir, və sonra ona görə ki, aşağı düşür. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Parollar və PII. 363 00:17:53,885 --> 00:17:56,820 Belə ki, parol. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Parol nəzər salaq real sürətli. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Mənə verərdiniz ki, hər kəs təhlükəsiz istifadə edir - 369 00:18:06,520 --> 00:18:09,030 Mən burada hər kəs ümid edirəm təhlükəsiz parol istifadə edir. 370 00:18:09,030 --> 00:18:12,890 Mən yalnız imkan edirəm ki, bir fərziyyə kimi. 371 00:18:12,890 --> 00:18:14,850 Belə ki, uşaqlar mütləq gedir web saytları üçün parol saxlamaq. 372 00:18:14,850 --> 00:18:17,440 Siz kimi bir şey etmək olacaq kimi bir giriş və ya bir şey. 373 00:18:17,440 --> 00:18:19,610 Nə vacibdir saxlamaq üçün edir düz mətn parol. 374 00:18:19,610 --> 00:18:20,860 Bu son dərəcə əhəmiyyətli. 375 00:18:20,860 --> 00:18:23,960 Siz saxlamaq istəmirəm düz mətn parol. 376 00:18:23,960 --> 00:18:27,370 >> Və mütləq həqiqətən istəmirəm bir yol hash onu saxlamaq üçün. 377 00:18:27,370 --> 00:18:32,440 Belə ki, nə bir yol hash ki zaman Bu qoymaq zaman, bir söz yaratmaq 378 00:18:32,440 --> 00:18:36,200 bir hash funksiyası daxil söz, o, sirli bir növ geri yaratmaq 379 00:18:36,200 --> 00:18:39,390 mesaj və ya düymələri sirli set. 380 00:18:39,390 --> 00:18:40,640 Mən sizə bir misal göstərmək lazımdır. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Mən söz password1 hash gedirəm. 383 00:18:50,250 --> 00:18:55,280 Belə ki, MD5 Hash mənə qayıtmaq üçün gedir qəribə bəzi məlumatlar sort. 384 00:18:55,280 --> 00:18:59,140 >> Bu problem ki, insanlar orada web sites getmək istəyirəm var 385 00:18:59,140 --> 00:19:02,750 artıq sort fiqurlu bütün md5 hashes. 386 00:19:02,750 --> 00:19:06,030 Onlar oturdu olunur nə onların kompüter və onlar hər hashed 387 00:19:06,030 --> 00:19:09,660 orada tək mümkün söz qədər Onlar növ bu nə var. 388 00:19:09,660 --> 00:19:11,420 Mən bu qədər baxmaq olsaydı - 389 00:19:11,420 --> 00:19:12,420 Mən yalnız bu hash tutdu. 390 00:19:12,420 --> 00:19:14,120 Mən bu hash almaq - 391 00:19:14,120 --> 00:19:17,470 Mən bir web daxil, və mən tapmaq əgər Bu hash Mən almaq çünki 392 00:19:17,470 --> 00:19:24,100 məlumat bazaları, və Mən onu axtarmaq, kimsə artıq mənim üçün bunu anladım. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Bəli. 395 00:19:29,100 --> 00:19:35,030 Belə ki, insanlar oturdu və nə md5 Siz qoymaq ki, hash, onlar olacaq 396 00:19:35,030 --> 00:19:37,760 sizə geri şey ki, bir söz. 397 00:19:37,760 --> 00:19:39,800 Mən kimi, başqa bir söz hash varsa - 398 00:19:39,800 --> 00:19:42,410 Mən bilmirəm - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Mən məyus etmək istəmirəm Google axtarışları ilə. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Orada, trees2 edir. 403 00:19:52,780 --> 00:19:55,930 Belə ki, web sites bir çox hələ md5 hash istifadə edin. 404 00:19:55,930 --> 00:19:57,730 Onlar oh, o, təhlükəsiz, demək. 405 00:19:57,730 --> 00:19:58,570 Biz düz mətn saxlanılması deyilik. 406 00:19:58,570 --> 00:19:59,740 Biz bu md5 hash var. 407 00:19:59,740 --> 00:20:01,880 Mən nə üçün bütün yalnız Sayı google. 408 00:20:01,880 --> 00:20:03,940 >> Mən hətta özümü hesablamaq yoxdur. 409 00:20:03,940 --> 00:20:06,790 Mən yalnız Google bilər, və kimsə artıq mənim üçün bunu. 410 00:20:06,790 --> 00:20:08,010 Burada onlardan bir dəstə var. 411 00:20:08,010 --> 00:20:09,260 Burada parol bir dəstə var. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Belə ki, mütləq md5 hash istifadə etməyin, çünki bütün 414 00:20:18,680 --> 00:20:19,140 bunu Google edir. 415 00:20:19,140 --> 00:20:20,390 Beləliklə, nə siz əvəzinə istifadə etmək istəyirsən? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Tuzlama adlı bir şey. 419 00:20:31,260 --> 00:20:32,460 Belə ki, nə tuzlama edir - 420 00:20:32,460 --> 00:20:36,280 biz zaman uşaqlar xatırlayırsınız təsadüfi söhbət - 421 00:20:36,280 --> 00:20:37,920 Mən bunu nə pset əmin deyiləm - 422 00:20:37,920 --> 00:20:41,140 orada pset və ya dörd idi? 423 00:20:41,140 --> 00:20:45,150 >> Biz tapmaq söhbət ot tayası ildə iynə. 424 00:20:45,150 --> 00:20:48,480 Və pset, belə ola bilər ki, həqiqətən nə təsadüfi anlamaq 425 00:20:48,480 --> 00:20:51,840 kimsə artıq qaçıb, çünki yaradır təsadüfi bir milyon dəfə və yalnız 426 00:20:51,840 --> 00:20:53,230 sort onlar yaratmaq nə formalaşır. 427 00:20:53,230 --> 00:20:55,840 Nə istəyirəm giriş qoydu. 428 00:20:55,840 --> 00:20:57,130 Belə ki, sort edir nə tuzlama var. 429 00:20:57,130 --> 00:21:00,900 Onlar artıq tuzlama nə fiqurlu hər bir iş üçün qaytarır. 430 00:21:00,900 --> 00:21:04,750 >> Belə ki, nə tuzlama yoxdur edir Bir duz qoyulur. 431 00:21:04,750 --> 00:21:06,160 Siz müəyyən bir söz qoydu. 432 00:21:06,160 --> 00:21:09,720 Və olaraq söz hash edəcək Burada qoymaq nə. 433 00:21:09,720 --> 00:21:13,570 Mən bu ilə parol bir hash əgər cümlə, bu hash olacaq 434 00:21:13,570 --> 00:21:17,180 Mən password1 hash fərqli əgər fərqli bir cümlə ilə. 435 00:21:17,180 --> 00:21:21,670 Bu növ haradasa verir başlamaq üçün hashing üçün başlamaq. 436 00:21:21,670 --> 00:21:25,970 Belə ki, siz hesablamaq üçün çox çətindir, lakin hələ də, xüsusilə, onu hesablamaq olar 437 00:21:25,970 --> 00:21:26,830 Bir pis duz istifadə edin. 438 00:21:26,830 --> 00:21:29,650 >> İnsanlar onsuz da həyata fiqurlu var ümumi duzları və fiqurlu 439 00:21:29,650 --> 00:21:31,500 bu ki, nə. 440 00:21:31,500 --> 00:21:34,980 Random duzları çox yaxşıdır, lakin ən yaxşı yolu istifadə etməkdir 441 00:21:34,980 --> 00:21:38,160 crypt deyilən bir şey. 442 00:21:38,160 --> 00:21:40,480 Və nə crypt sizə imkan verir belə ki, bu funksiyaları - yoxdur 443 00:21:40,480 --> 00:21:41,820 artıq sizin üçün inşa edilmişdir. 444 00:21:41,820 --> 00:21:44,910 Bir çox insanlar ki, unutmaq, və ya onlar istifadə unutmayın. 445 00:21:44,910 --> 00:21:54,520 Amma crypt PHP, crypt axtarmaq, artıq mənim üçün bir hash string qaytarır. 446 00:21:54,520 --> 00:21:58,790 Və həqiqətən bir neçə dəfə duzları və bir neçə dəfə hashes. 447 00:21:58,790 --> 00:22:00,070 >> Beləliklə, biz bu yoxdur. 448 00:22:00,070 --> 00:22:04,790 Beləliklə, siz nə üçün bütün crypt onu göndərmək. 449 00:22:04,790 --> 00:22:08,170 Və bu olmadan böyük hash yaratmaq siz duz narahat olan 450 00:22:08,170 --> 00:22:08,990 və ya bir şey. 451 00:22:08,990 --> 00:22:12,000 Siz duz bu olsaydı, çünki Siz nə üçün istifadə duz yadda 452 00:22:12,000 --> 00:22:13,800 çünki, siz ala bilərsiniz geri olmadan parol 453 00:22:13,800 --> 00:22:15,760 istifadə etdiyiniz duz. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> Həmçinin şəxsi identifikasiya məlumat. 457 00:22:23,150 --> 00:22:26,730 Belə ki, sosial təminat, kredit kartı - ki, olduqca aydın deyil. 458 00:22:26,730 --> 00:22:31,880 Amma bəzən insanlar yol unutmaq bu işləri siz nə qədər məlumat, 459 00:22:31,880 --> 00:22:35,690 həqiqətən bəzi bir şəxs tapmaq lazımdır? 460 00:22:35,690 --> 00:22:37,740 Biri haqqında bir iş etdi bu bir yol geri. 461 00:22:37,740 --> 00:22:40,870 Və bu varsa, kimi idi tam adı, tapa bilməz 462 00:22:40,870 --> 00:22:41,610 asanlıqla kimsə. 463 00:22:41,610 --> 00:22:43,900 Amma bir tam adını nə varsa və Dəğum onların tarixi? 464 00:22:43,900 --> 00:22:47,770 Müəyyən etmək üçün kifayət qədər ki, xüsusi kimsə? 465 00:22:47,770 --> 00:22:52,760 >> Nə onların adı və varsa Onlar yaşayır ünvanı? 466 00:22:52,760 --> 00:22:55,110 Ki, kimsə tapmaq üçün kifayət qədər mi? 467 00:22:55,110 --> 00:23:02,490 Onlar sual zaman ki, nə var, şəxsi identifikasiya informasiya və 468 00:23:02,490 --> 00:23:05,360 Siz haqqında nə narahat etməlidir üz verən deyil? 469 00:23:05,360 --> 00:23:08,770 Siz şəxsi identifikasiya versəm kimsə sizə verir ki, məlumat, 470 00:23:08,770 --> 00:23:11,420 Siz potensial iddia almaq bilər. 471 00:23:11,420 --> 00:23:12,610 Və biz mütləq ki, istəmirəm. 472 00:23:12,610 --> 00:23:14,955 >> Belə ki, sizin veb qoyulması olduğunuz zaman həyata, və siz həqiqətən sərin var 473 00:23:14,955 --> 00:23:17,230 dizayn, inşallah etdi zəhmli final layihə. 474 00:23:17,230 --> 00:23:18,370 Sort istədiyiniz hər hansı bir onu qoymaq. 475 00:23:18,370 --> 00:23:21,420 Siz əmin etmək istəyirəm nə bu əgər, istifadəçi alaraq edirik 476 00:23:21,420 --> 00:23:25,310 şəxsi identifikasiya məlumatı, siz həqiqətən olan olduğunuz etmək istəyirəm 477 00:23:25,310 --> 00:23:26,560 ilə ehtiyatlı. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Shell injection. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Shell injection üçün Giriş verir faktiki command line əldə 482 00:23:37,590 --> 00:23:39,660 Sizin server. 483 00:23:39,660 --> 00:23:44,060 Və o kodu run edə bilər siz nəzarət edə bilər. 484 00:23:44,060 --> 00:23:49,560 Bu nümunə edək burada gözəl string. 485 00:23:49,560 --> 00:23:55,570 Biz yenə veb getmək varsa, mən deyiləm kodu injection getmək üçün gedir. 486 00:23:55,570 --> 00:23:58,910 Belə ki, bu nə edir - 487 00:23:58,910 --> 00:24:00,420 biz nə də var əvvəl baxaraq. 488 00:24:00,420 --> 00:24:11,200 Biz nə qoymaq istifadəçi imkan etdiyiniz o istəyir və bu çap edəcək 489 00:24:11,200 --> 00:24:12,220 istədiyiniz nə. 490 00:24:12,220 --> 00:24:13,890 >> Mən zəng qoymaq üçün gedirəm. 491 00:24:13,890 --> 00:24:15,540 Bu nə edir - 492 00:24:15,540 --> 00:24:16,940 Bu concatenating başlayacaq. 493 00:24:16,940 --> 00:24:19,520 Belə ki, mənə run imkan verir nə şəxsin çalışan komanda 494 00:24:19,520 --> 00:24:21,500 əvvəl və command. 495 00:24:21,500 --> 00:24:23,980 Mən bir sistem komanda çalışan alıram. 496 00:24:23,980 --> 00:24:27,310 Və bu son strings var - xatırlayıram nə haqqında uşaqlar söhbət, 497 00:24:27,310 --> 00:24:31,725 Əgər kodlar var, halbuki bir URL metodu. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Mən indi bu run əgər - 500 00:24:36,992 --> 00:24:39,150 Mən burada sizə göstərmək lazımdır - 501 00:24:39,150 --> 00:24:41,100 Mən başa çatdı ki, görürsünüz bir komanda çalışır. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Bu əslində faktiki server edir mənim veb çalışan. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Belə ki, istəmirəm, Mən çalıştırabilirsiniz çünki - 506 00:24:58,510 --> 00:25:00,320 Bu server mina deyil. 507 00:25:00,320 --> 00:25:04,030 Mən mess up istəmirəm onun bacısı, Marcus server. 508 00:25:04,030 --> 00:25:07,470 Amma daha çox əmrləri çalıştırabilirsiniz təhlükəli olan. 509 00:25:07,470 --> 00:25:11,885 Və potensial, siz silmək bilər faylları, rehberler çıxarın. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Mən müəyyən bir kataloq əgər kaldırabilirsiniz Mən istədim, amma mən istəmirəm 512 00:25:17,970 --> 00:25:19,530 Marcus bunu. 513 00:25:19,530 --> 00:25:20,420 O gözəl oğlan var. 514 00:25:20,420 --> 00:25:21,470 O, mənə onun server borc imkan. 515 00:25:21,470 --> 00:25:24,620 Mən ona imkan gedirəm yaxşı bir off. 516 00:25:24,620 --> 00:25:32,280 >> Belə ki, nə biz istifadə etmək istəmirik - biz deyil Eval və ya sistem istifadə etmək istəyirik. 517 00:25:32,280 --> 00:25:34,755 Eval və ya sistem bizə imkan verir Bu sistem zəng etmək. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval vasitələri qiymətləndirmək. 520 00:25:38,410 --> 00:25:40,790 System qaçdım nə deməkdir. 521 00:25:40,790 --> 00:25:42,490 Bu sistemdə bir şey run edir. 522 00:25:42,490 --> 00:25:46,730 Amma biz bu şeyi qaçaq bilər PHP biz onları istifadə etməyin ki. 523 00:25:46,730 --> 00:25:47,400 Və fayl upload. 524 00:25:47,400 --> 00:25:49,180 Mən zəhmli edəcəyik fayl yükləmə ilə bir şey. 525 00:25:49,180 --> 00:25:52,740 Amma kimi mən, mənim fayl sizə uşaqlar bildirib upload şey iş deyil. 526 00:25:52,740 --> 00:25:54,590 İndi bir fayl yüklemek üçün idi əgər - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 Mən bir fayl yüklemek üçün idi, əgər və bir şəkil var - 529 00:26:00,830 --> 00:26:03,180 Əgər upload şey var ki, bir şəkil var. 530 00:26:03,180 --> 00:26:03,660 Ki, gözəl. 531 00:26:03,660 --> 00:26:04,280 Heç bir şey olur. 532 00:26:04,280 --> 00:26:10,840 >> Amma bir upload fayl üçün varsa Məsələn, və istifadəçi həqiqətən yüklenenler 533 00:26:10,840 --> 00:26:19,220 bir PHP fayl və ya bir exe fayl və ya bir şey kimi, sonra potensial bilər 534 00:26:19,220 --> 00:26:19,740 bir problem var. 535 00:26:19,740 --> 00:26:21,390 Bu əvvəl çalışırdı. 536 00:26:21,390 --> 00:26:25,202 Təəssüf ki, mənim üçün, bu artıq iş deyil. 537 00:26:25,202 --> 00:26:30,230 Mən, məsələn, bu faylı Əgər, mən yüklemek üçün icazə almaq deyil 538 00:26:30,230 --> 00:26:33,400 server səbəbiylə fayl mina olmayan. 539 00:26:33,400 --> 00:26:38,670 Belə ki, oğlan həqiqətən ağıllı deyil. 540 00:26:38,670 --> 00:26:39,610 >> Beləliklə, biz istəmirik - 541 00:26:39,610 --> 00:26:40,130 Mən sizə uşaqlar göstərmək üçün gedirəm - 542 00:26:40,130 --> 00:26:41,840 OK, bu, bəzi həqiqətən sərin alətlər var. 543 00:26:41,840 --> 00:26:45,100 Belə ki, bu - 544 00:26:45,100 --> 00:26:47,715 daxil - Siz uşaqlar Firefox varsa - inşallah nə. 545 00:26:47,715 --> 00:26:54,260 SQL Inject adlı iki eklentiler var Me və Cross-Site Script Me. 546 00:26:54,260 --> 00:26:56,870 Onlar az yan açmaq tərəfində bar. 547 00:26:56,870 --> 00:27:01,480 Mən getmək idi əgər Məsələn CS60 - 548 00:27:01,480 --> 00:27:04,210 buna nə görünür edir bütün formaları üçün - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 inşallah, mən almaq deyil Bu problem. 551 00:27:08,760 --> 00:27:09,190 >> Amma OK. 552 00:27:09,190 --> 00:27:12,600 Burada pin sistemi var. 553 00:27:12,600 --> 00:27:18,946 Mən deşik axtarır başlattığınızda sistem, mən nə ilk şey 554 00:27:18,946 --> 00:27:21,820 Bu gözəl az açmaq tərəfində vasitədir. 555 00:27:21,820 --> 00:27:24,160 Mən test üçün gedirəm avtomatik hücumları ilə. 556 00:27:24,160 --> 00:27:28,510 Və nə bu yavaş-yavaş olacaq brauzerlər bir dəstə açmaq. 557 00:27:28,510 --> 00:27:29,930 Burada browser bir dəstə var. 558 00:27:29,930 --> 00:27:33,320 Və hər bir birləşməsi çalışır cross-site scripting 559 00:27:33,320 --> 00:27:37,380 orada bəlkə, əgər ki, Siz tərəfdən görürük. 560 00:27:37,380 --> 00:27:42,080 >> Və mənə bir nəticə verəcək cavab nə sort. 561 00:27:42,080 --> 00:27:42,860 Bütün keçir. 562 00:27:42,860 --> 00:27:43,910 Aydındır ki, onlar bütün keçir. 563 00:27:43,910 --> 00:27:46,190 Mən demək, onlar həqiqətən ağıllı olduğunuzu up orada insanlar. 564 00:27:46,190 --> 00:27:48,010 Amma əgər çalıştırmak üçün - 565 00:27:48,010 --> 00:27:52,050 Mən bu çalıştırdığınızda əvvəl dəfə yaşadım Şagirdlərin son layihələr üzərində. 566 00:27:52,050 --> 00:27:56,080 Mən sadəcə Yadda yeritmək SQL çalıştırmak bütün müxtəlif hücumlar. 567 00:27:56,080 --> 00:28:00,080 Və SQL inyeksiya üçün çalışırıq Bu pin server. 568 00:28:00,080 --> 00:28:03,590 Biz aşağı diyirləyin əgər, Belə ki, Məsələn, o deyir - 569 00:28:03,590 --> 00:28:04,960 qaytarır əgər bu yaxşıdır. 570 00:28:04,960 --> 00:28:08,250 >> Belə ki, bəzi müəyyən dəyərlər test. 571 00:28:08,250 --> 00:28:11,170 Və server geri qaytarılan kodu mənfi idi. 572 00:28:11,170 --> 00:28:11,780 Müvəqqəti çıxarın. 573 00:28:11,780 --> 00:28:13,030 Bu, yaxşı haldır. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Bu, bütün bu testlər çalışır. 576 00:28:20,750 --> 00:28:21,790 Belə ki, sadəcə run bilər - 577 00:28:21,790 --> 00:28:27,860 Mən bir veb real tapmaq isterdim sürətli ki, mənə bildirin olardı - 578 00:28:27,860 --> 00:28:29,110 bəlkə CS50 mağaza. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Wow, bu gedir yol çox uzun. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Mən imkan lazımdır ilk test sağ bitirmək deyil. 583 00:28:55,130 --> 00:28:57,330 Belə ki, şikayətçi oldu. 584 00:28:57,330 --> 00:28:58,470 Belə ki, bu üç şey. 585 00:28:58,470 --> 00:29:00,430 Bu alətlər pulsuz. 586 00:29:00,430 --> 00:29:03,960 Siz onları yükləyə və onlara çalıştırabilirsiniz Sizin veb, və sizə xəbər verəcəkdir əgər 587 00:29:03,960 --> 00:29:06,650 Siz cross-site scripting var, Əgər varsa, SQL varsa 588 00:29:06,650 --> 00:29:07,900 kimi bir şey. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 I növ up messing alıram. 591 00:29:14,500 --> 00:29:15,550 >> Nə vacibdir - 592 00:29:15,550 --> 00:29:17,900 OK, belə ki, istifadəçi etibar heç vaxt. 593 00:29:17,900 --> 00:29:21,920 Sizə nə olursa olsun istifadəçi giriş etmək Siz onu sanitize, onu təmizləmək, 594 00:29:21,920 --> 00:29:25,300 Siz sağ şeyi kontrol, Bu sizə nə verilməsi ki, 595 00:29:25,300 --> 00:29:28,240 ona sizə vermək istəyirəm. 596 00:29:28,240 --> 00:29:32,460 Həmişə yenilənir nə çərçivələr Siz, həqiqətən, istifadə etdiyiniz. 597 00:29:32,460 --> 00:29:34,630 - Siz bootstrap kimi bir şey istifadə edin 598 00:29:34,630 --> 00:29:36,340 Mən sizə uşaqlar istifadə edir bilirik o getmək olacaq, çünki bootstrap 599 00:29:36,340 --> 00:29:38,140 bu tezliklə sinif - 600 00:29:38,140 --> 00:29:43,120 və Wordpress və ya kimi bir şey, adətən bu hücumu edilə bilər. 601 00:29:43,120 --> 00:29:44,770 >> Və sonra hətta bilmirəm. 602 00:29:44,770 --> 00:29:45,800 Siz yalnız veb çalışan edirik. 603 00:29:45,800 --> 00:29:47,360 Və tamamilə təhlükəsiz deyil. 604 00:29:47,360 --> 00:29:51,730 Və aşağı gedin. 605 00:29:51,730 --> 00:29:54,000 Mən, həqiqətən, erkən balıqçılıq edirəm. 606 00:29:54,000 --> 00:29:55,770 Amma Pentest Labs təşəkkür etmək istəyirəm. 607 00:29:55,770 --> 00:29:58,140 Mən sizə uşaqlar bir şey göstərmək üçün gedirəm Pentest Labs çağırıb. 608 00:29:58,140 --> 00:30:05,000 Siz uşaqlar həqiqətən maraqlı əgər həqiqətən, bir var nə təhlükəsizlik 609 00:30:05,000 --> 00:30:07,300 Pentest Labs əgər adlı veb Siz uşaqlar indi gedin. 610 00:30:07,300 --> 00:30:10,730 Oh, yaxşı ki, bu deyil. 611 00:30:10,730 --> 00:30:12,030 Mən yalnız bu kimi çalıştırmak üçün gedirəm. 612 00:30:12,030 --> 00:30:14,400 Google mənə cavab verir. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 Və siz istifadə öyrədir - belə ki, deyir, web nüfuz öyrənmək 615 00:30:19,030 --> 00:30:21,060 doğru yol test. 616 00:30:21,060 --> 00:30:23,650 Bu sizə öyrədir - 617 00:30:23,650 --> 00:30:25,150 ümid edirəm ki, siz etik şəxs istəyirik. 618 00:30:25,150 --> 00:30:29,200 Ancaq baxmaq olar necə öyrədir web daxilində əldə edə bilərsiniz necə. 619 00:30:29,200 --> 00:30:31,130 Və öyrənmək əgər daxilində əldə edə bilərsiniz necə web saytları, siz öyrənə bilərsiniz necə 620 00:30:31,130 --> 00:30:34,960 əldə özünüzü qorumaq daxili saytları. 621 00:30:34,960 --> 00:30:39,100 Mənə zoom imkan bəlkə siz uşaqlar, çünki Bu hüququn baxaraq deyil. 622 00:30:39,100 --> 00:30:46,350 >> SQL injection belə, shell sort I SQL-dan əldə edə bilərsiniz necə 623 00:30:46,350 --> 00:30:48,530 shell injection. 624 00:30:48,530 --> 00:30:53,890 Və bu virtual maşın download. 625 00:30:53,890 --> 00:30:55,690 Və virtual maşın artıq gəlir siz ki, saytına 626 00:30:55,690 --> 00:30:56,780 bu cəhd gedir. 627 00:30:56,780 --> 00:30:58,030 Bu PDF download. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 Və bu xətti ilə siz line göstərəcək nə Əgər yoxlamaq nə, var. 630 00:31:08,370 --> 00:31:14,560 Bu nə bir təcavüzkar əslində bir web daxilində almaq üçün edir. 631 00:31:14,560 --> 00:31:15,750 >> Bu məhsulları bir mürəkkəbdir. 632 00:31:15,750 --> 00:31:17,520 Mən daha artıq getmək isterdim Siz uşaqlar ilə şeyi. 633 00:31:17,520 --> 00:31:21,090 Amma narahat edən uşaqlar həqiqətən yoxdur - 634 00:31:21,090 --> 00:31:23,090 bu mən artıq getdi nə Siz uşaqlar, web testlər 635 00:31:23,090 --> 00:31:26,830 penetrasiya test üçün. 636 00:31:26,830 --> 00:31:33,540 Həqiqətən bilmirəm nə SQL və nə - 637 00:31:33,540 --> 00:31:35,960 Carl Jacksonun seminar eləcə də zəhmli deyil. 638 00:31:35,960 --> 00:31:37,360 Siz uşaqlar sort bilmirəm bu nə. 639 00:31:37,360 --> 00:31:39,450 Amma əgər siz bu web getmək, və Bu Dərsliklər və bu download 640 00:31:39,450 --> 00:31:43,290 PDF, siz növ nəzər edə bilərsiniz təhlükəsizlik sahəsi həqiqətən nə 641 00:31:43,290 --> 00:31:46,940 penetrasiya test, necə siz daxili web almaq və qorumaq 642 00:31:46,940 --> 00:31:48,020 özünüzü ondan. 643 00:31:48,020 --> 00:31:56,360 >> Mən bir super sürətli bir genel bakış etmək əgər, Bu cross-site scripting qarşısını almaq olacaq. 644 00:31:56,360 --> 00:32:00,160 Siz htmlspecialchars hər istifadə etmək istədiyiniz istifadəçi giriş şey zaman. 645 00:32:00,160 --> 00:32:01,580 SQL injection qarşısını alır. 646 00:32:01,580 --> 00:32:04,510 Siz bunu əgər, siz artıq edirik Harvard daha off daha yaxşı 647 00:32:04,510 --> 00:32:06,530 onlar pozmuş oldum. 648 00:32:06,530 --> 00:32:10,510 Və parol əmin olun düz mətn deyil. 649 00:32:10,510 --> 00:32:16,220 Siz bunu bir yol hash yalnız etmək onlara ancaq crypt istifadə ki, PHP 650 00:32:16,220 --> 00:32:18,670 Mən sizə uşaqlar göstərdi ki, funksiyası. 651 00:32:18,670 --> 00:32:20,060 Bu yolla, siz yaxşı olmalıdır. 652 00:32:20,060 --> 00:32:25,830 >> Sizin dost bildirin Həmçinin, əgər siz run Öz saytlarında Yadda yeritmək SQL. 653 00:32:25,830 --> 00:32:28,140 Run cross-site scripting öz saytlarında. 654 00:32:28,140 --> 00:32:33,720 Və bu web sites bir çox görəcəksiniz zəifliklərin bir ton var. 655 00:32:33,720 --> 00:32:40,400 Bu çox insanlar unutmaq necə inanılmaz var öz verilənlər bazası sanitize və ya etmək 656 00:32:40,400 --> 00:32:46,340 əmin nə şəxsin giren script kod deyil. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 I növ həqiqətən erkən sona çatdı. 659 00:32:49,182 --> 00:32:56,510 Amma hər kəs haqqında hər hansı bir sualınız varsa bir şey, siz məni bir sual vurmaq bilər. 660 00:32:56,510 --> 00:32:56,630 Bəli. 661 00:32:56,630 --> 00:32:56,970 Getmək, Go. 662 00:32:56,970 --> 00:32:59,846 >> Auditoriya: yalnız soruşmaq istəyirəm, Siz fayl necə izah edə bilər 663 00:32:59,846 --> 00:33:03,160 dəqiq işləri bərpa edin. 664 00:33:03,160 --> 00:33:03,480 >> Luciano Arango: Bəli. 665 00:33:03,480 --> 00:33:06,350 Mənə siz faylı göstərmək bildirin real sürətli bərpa edin. 666 00:33:06,350 --> 00:33:11,300 Belə ki, fayl upload - 667 00:33:11,300 --> 00:33:14,500 Bu problem fayl upload işləyir indi ki, - 668 00:33:14,500 --> 00:33:18,541 Mən sizə uşaqlar kodu açmaq üçün gedirəm pərdə arxasında kodu görürük. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 Və bu yüklemek olunur. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Burada fayl uploader üçün bir kodu var. 673 00:33:31,560 --> 00:33:33,980 >> Biz bu getmək üçün çalışdığınız burada directory. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 Və biz, çalışdığınız biz input dəfə fayl, isset fayl - belə bir var 676 00:33:44,880 --> 00:33:50,900 sonra, faylları, image fayl biz burada hərəkət etmək üçün cəhd. 677 00:33:50,900 --> 00:33:51,910 Biz burada fayl grab. 678 00:33:51,910 --> 00:33:58,350 Bu üsul POST, növü, image, fayl. 679 00:33:58,350 --> 00:33:59,630 Və biz bu fayl göndərilməsi edirik. 680 00:33:59,630 --> 00:34:03,910 Və sonra biz onu almaq bir dəfə, belə ki, bir dəfə fayl bir nüfuza malikdir, biz bunu göndərmək üçün çalışdığınız 681 00:34:03,910 --> 00:34:05,060 bu dizine. 682 00:34:05,060 --> 00:34:09,814 >> Bu problem veb deyil ki , Bu kataloq getmək imkan 683 00:34:09,814 --> 00:34:12,239 mənə geri getmək istəmir, çünki. 684 00:34:12,239 --> 00:34:13,489 Mənə getmək istəmir - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Mən getmək üçün var - belə ki, burada yüklemek edir. 687 00:34:17,070 --> 00:34:17,639 Burada images var. 688 00:34:17,639 --> 00:34:21,780 Mən bütün yol geri getmək üçün var sonra başlayan və orada qoymaq və 689 00:34:21,780 --> 00:34:23,820 getmək və kataloq koydu. 690 00:34:23,820 --> 00:34:30,000 Mən terminal pəncərə çalışan əgər, və mən bir fayl hərəkət etmək istədi - 691 00:34:30,000 --> 00:34:30,409 [Işitilemez] 692 00:34:30,409 --> 00:34:32,159 bunu görürük. 693 00:34:32,159 --> 00:34:37,940 Mən bir fayl hərəkət etmək istəyirdi, mən sonra fayl adı qoymaq və üçün 694 00:34:37,940 --> 00:34:40,860 tam yol Mən bunu göndərmək istəyirəm. 695 00:34:40,860 --> 00:34:45,110 >> Və sonra server deyil Mənə geri getmək imkan. 696 00:34:45,110 --> 00:34:46,929 Və belə bildirdiğiniz deyil mənə fayl almaq. 697 00:34:46,929 --> 00:34:47,670 Amma normal - 698 00:34:47,670 --> 00:34:49,360 belə bir kodu var bir fayl yüklemek. 699 00:34:49,360 --> 00:34:52,260 Belə ki, normal nə olacaq ki, şəxs yoxlanılması deyil, əgər mənim fayl 700 00:34:52,260 --> 00:34:57,920 . jpeg ilə başa çatır, mən yoxlamaq istəyirəm. 701 00:34:57,920 --> 00:35:00,054 Mənə çox real sürətli nümunə açaq. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Bu şəxs sağ - 705 00:35:09,230 --> 00:35:11,980 belə misal iki yoxlanılması olunur preg_match əgər - 706 00:35:11,980 --> 00:35:14,180 burada buraya edir - 707 00:35:14,180 --> 00:35:19,660 əmin ilə başa çatır etmək Yaxşı olan PHP,. 708 00:35:19,660 --> 00:35:20,580 Bu, yaxşı haldır. 709 00:35:20,580 --> 00:35:22,820 Amma real böyük var Bu problem. 710 00:35:22,820 --> 00:35:24,600 Bu, yaxşı haldır. 711 00:35:24,600 --> 00:35:44,190 Amma adlı bir fayl qoymaq olsaydı myfavoritepicture.php.jpeg, mən bilər 712 00:35:44,190 --> 00:35:50,060 hələ potensial jpeg qurtarmaq və Bu PHP təhlükəli it.k axır. 713 00:35:50,060 --> 00:35:53,850 Siz şəxs ola istəmirəm Sizin veb kodu run. 714 00:35:53,850 --> 00:35:55,750 >> Amma sonra. Jpeg keçmək imkan verir. 715 00:35:55,750 --> 00:36:00,720 Fikri siz həqiqətən etmək istəyirəm nə faylları, A. Lakin, OK, almaq deyil nə 716 00:36:00,720 --> 00:36:07,500 Siz, həqiqətən etmək istəyirəm ki, əmin olun Siz bütün dünyada oxumaq. 717 00:36:07,500 --> 00:36:08,720 Və heç bir şey yoxdur. Bu PHP. 718 00:36:08,720 --> 00:36:10,500 Bu heç. Php var bütün fayl adı. 719 00:36:10,500 --> 00:36:12,780 >> Auditoriya: Amma siz bilər qoymaq. jpeg sonunda. 720 00:36:12,780 --> 00:36:15,830 Server hələ kodu axır. 721 00:36:15,830 --> 00:36:16,870 >> Luciano Arango: Xeyr, olmaz başında axır. 722 00:36:16,870 --> 00:36:22,310 Siz geri getmək və cəhd var Siz əgər görmək - 723 00:36:22,310 --> 00:36:24,210 >> Auditoriya: Biz var - 724 00:36:24,210 --> 00:36:26,020 OK, əhatə edən yalnız bir set - 725 00:36:26,020 --> 00:36:26,936 >> Luciano Arango: Bəli. 726 00:36:26,936 --> 00:36:29,230 >> Auditoriya: OK. 727 00:36:29,230 --> 00:36:31,486 >> Luciano Arango: Bəli. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Hər hansı digər suallar? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Mən bu qədər tərk və düzmək üçün gedirəm Siz uşaqlar bilərsiniz görmek üçün cəhd - 732 00:36:37,350 --> 00:36:40,490 digər olanları bir az daha Onlar çox tələb mürəkkəb, çünki 733 00:36:40,490 --> 00:36:44,050 daha SQL daha çox bilik yalnız web SQL başlayan bilik və 734 00:36:44,050 --> 00:36:47,010 nə JavaScript edir. 735 00:36:47,010 --> 00:36:49,730 Amma bu qədər saxlamaq üçün cəhd gedirəm və inşallah uşaqlar öyrənmək olacaq 736 00:36:49,730 --> 00:36:53,230 bu və bir peek almaq üçün cəhd edin siz nə edə bilərsiniz və necə bir çox nümunələr 737 00:36:53,230 --> 00:36:54,420 Siz əldə edə bilərsiniz. 738 00:36:54,420 --> 00:36:56,020 >> Hər kəs hər hansı digər var bu barədə suallar? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Durmayın. 741 00:37:00,350 --> 00:37:01,170 Bəli, atmaq, vurmaq. 742 00:37:01,170 --> 00:37:01,580 Bəli, davam. 743 00:37:01,580 --> 00:37:01,850 Durmayın. 744 00:37:01,850 --> 00:37:02,310 >> Auditoriya: OK. 745 00:37:02,310 --> 00:37:08,870 Mən haqqında eşitdim necə Magic Quotes kifayət qədər təmin olunmur. 746 00:37:08,870 --> 00:37:09,280 >> Luciano Arango nə - 747 00:37:09,280 --> 00:37:10,110 Magic Quotes? 748 00:37:10,110 --> 00:37:10,595 >> Auditoriya: Bəli. 749 00:37:10,595 --> 00:37:15,445 Belə ki, edir - belə zaman giriş bir şey, o, həmişə quotes edir. 750 00:37:15,445 --> 00:37:15,930 >> Luciano Arango: Bəli. 751 00:37:15,930 --> 00:37:16,000 Bəli. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> Auditoriya: Və sonra mən də, çalışmışdır ki, lakin sonra mən onu axtarıldı. 754 00:37:19,113 --> 00:37:21,648 Və bu yaxşı deyil bildirib. 755 00:37:21,648 --> 00:37:23,050 Amma niyə əmin deyiləm. 756 00:37:23,050 --> 00:37:23,360 >> Luciano Arango: Bəli. 757 00:37:23,360 --> 00:37:26,240 >> Auditoriya: Magic Quotes istifadə etməyin Bu təhlükəsiz deyil, çünki. 758 00:37:26,240 --> 00:37:26,360 >> Luciano Arango: OK. 759 00:37:26,360 --> 00:37:31,735 SQL daxil zaman belə Magic Quotes edir və artıq sizin üçün quote edir. 760 00:37:31,735 --> 00:37:33,520 >> Auditoriya: Bu həmişə quotes edir Daxil qoymaq nə ətrafında 761 00:37:33,520 --> 00:37:34,210 >> Luciano Arango: Bəli. 762 00:37:34,210 --> 00:37:37,190 Belə ki, ilə problem ki, - 763 00:37:37,190 --> 00:37:38,445 Mən nəzər lazımdır - 764 00:37:38,445 --> 00:37:41,390 >> Auditoriya: necə əldə etmir SQL bəyanat? 765 00:37:41,390 --> 00:37:44,690 Və ya ola bilər danışarlar kimi quote seçin. 766 00:37:44,690 --> 00:37:49,030 >> Luciano Arango: Bəli, sizə lazım SQL üçün yaxşı quotes. 767 00:37:49,030 --> 00:37:52,900 >> Auditoriya: Xeyr, lakin server sizin üçün bunu edir. 768 00:37:52,900 --> 00:37:54,460 >> Luciano Arango: Bu kiçik quotes burada, bu kiçik quotes? 769 00:37:54,460 --> 00:37:55,670 >> Auditoriya: Bəli. 770 00:37:55,670 --> 00:37:56,450 >> Luciano Arango: Bəli. 771 00:37:56,450 --> 00:37:59,860 Bu problem siz ki, Son şərh - 772 00:37:59,860 --> 00:38:05,770 OK, belə ki, nə edə bilərsiniz Mən şərh edə bilər out - belə ki, bir nəzər salaq - Mənə bildirin 773 00:38:05,770 --> 00:38:07,920 bir mətn redaktə faylı açın. 774 00:38:07,920 --> 00:38:09,610 Mənə yalnız bu edit imkan burada birbaşa. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Sizlərin aydın görmək olar? 778 00:38:23,710 --> 00:38:29,730 Mən nə edə şərh edə bilər Son bir həyata. 779 00:38:29,730 --> 00:38:32,190 Bu son bir şərh edəcək. 780 00:38:32,190 --> 00:38:36,760 Və sonra mən qoymaq, buradan birini qoymaq lazımdır burada bütün zərərli stuff. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Belə ki, istifadəçi həqiqətən var sağ, giren? 783 00:38:42,630 --> 00:38:45,230 Istifadəçi giren deyil şeylər, sağ? 784 00:38:45,230 --> 00:38:47,430 Bu kimi daxil gedirəm nə daxilində almaq üçün çalışırıq şəxs. 785 00:38:47,430 --> 00:38:49,430 Mən qoymaq gedirəm - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 ki, bir dırnaq işarəsi var. 788 00:39:00,180 --> 00:39:01,760 Bu səhv yalnız squiggly var. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 Və sonra nə kodu etmək niyyətindədir - 791 00:39:19,400 --> 00:39:20,190 Bağışlayın, mən bu almaq üçün gedirəm. 792 00:39:20,190 --> 00:39:22,170 Nə kodu nə gedir bu ilk əlavə olacaq 793 00:39:22,170 --> 00:39:24,030 kotirovka burada olur. 794 00:39:24,030 --> 00:39:26,040 Və bu son əlavə olacaq dırnaq işarəsi həmçinin. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> Və bu da əlavə etmək olacaq son, son dırnaq işarəsi. 797 00:39:33,270 --> 00:39:37,380 Amma bu kotirovka şərh alıram out qeyd, onlar run etməyin. 798 00:39:37,380 --> 00:39:41,440 Mən bu kotirovka başa alıram burada qeyd. 799 00:39:41,440 --> 00:39:42,290 Siz anlamaq edirsiniz? 800 00:39:42,290 --> 00:39:43,750 Siz itirilmiş edirsiniz? 801 00:39:43,750 --> 00:39:45,880 Mən son kotirovka şərh edə bilər mark, və qayğı 802 00:39:45,880 --> 00:39:46,680 ilk dırnaq işarəsi. 803 00:39:46,680 --> 00:39:47,350 >> Auditoriya: Və yalnız Salonun ilk biridir. 804 00:39:47,350 --> 00:39:47,480 >> Luciano Arango: Bəli. 805 00:39:47,480 --> 00:39:48,400 Və yalnız ilk bir başa. 806 00:39:48,400 --> 00:39:48,790 Bəli, doğru. 807 00:39:48,790 --> 00:39:50,800 Mən nə edə var. 808 00:39:50,800 --> 00:39:51,890 Bəli. 809 00:39:51,890 --> 00:39:52,980 Kimi hər hansı bir digər suallar? 810 00:39:52,980 --> 00:39:54,230 Böyük bir sual var. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 No, bəli, bəlkə. 813 00:39:59,790 --> 00:40:06,150 Ümid edirəm ki, uşaqlar sort edəcək SQL və öyrənmək zaman daha məntiqli 814 00:40:06,150 --> 00:40:06,650 kimi şeylər. 815 00:40:06,650 --> 00:40:07,980 Amma əmin olun - 816 00:40:07,980 --> 00:40:10,340 watch bu vasitələrdən saxlamaq. 817 00:40:10,340 --> 00:40:12,760 Üzr istəyirik, burada bu alətlər. 818 00:40:12,760 --> 00:40:14,200 Bu alətlər böyükdür. 819 00:40:14,200 --> 00:40:17,190 Hər hansı bir sualınız varsa, siz də mənə eməktub göndərin. 820 00:40:17,190 --> 00:40:19,020 Bu mənim normal e-poçt. 821 00:40:19,020 --> 00:40:25,015 Və bu, mənim iş e-poçt olan Mən Dənizlərdə iş zaman. 822 00:40:25,015 --> 00:40:26,040 >> OK, thanks. 823 00:40:26,040 --> 00:40:26,740 Thanks, uşaqlar. 824 00:40:26,740 --> 00:40:27,860 Siz getmək iyi. 825 00:40:27,860 --> 00:40:28,830 Siz burada qalmaq yoxdur. 826 00:40:28,830 --> 00:40:29,570 Clap etməyin. 827 00:40:29,570 --> 00:40:30,170 Bu qəribə deyil. 828 00:40:30,170 --> 00:40:31,420 OK, thanks, uşaqlar. 829 00:40:31,420 --> 00:40:32,320