LUCIANO Arango: OK, guys. Fy enw i yw Luciano Arango. Rwy'n sophomore yn Adams House. Ac rydym yn mynd i fod yn siarad am diogelwch ar y we amddiffyn gweithredol. Felly, yr wyf yn gweithio ar gyfer y Swyddfa Gwybodaeth Diogeledd yn MOROEDD. Ac yn ystod yr haf, yr wyf yn interned yn SeguraTec, a oedd yn wybodaeth cwmni diogelwch oedd yn gwasanaethu i Fanc Columbia. Dyna yn bennaf lle dysgais hyn yr wyf wedi ei ddysgu hyd yn hyn. Ac felly mae rhai o'r deunydd ein bod ni'n mynd i fynd dros heddiw, nid ydym wedi siarad am mewn gwirionedd yn y dosbarth. Ond byddwn yn fuan. Mae'n mynd i fod fel SQL, JavaScript. Ac nid ydym wedi mynd mewn gwirionedd drosto. Felly, efallai y byddaf didoli hedfan drwyddo, a efallai nad ydych yn gwybod am rai pethau. Ond yn fuan, byddwch yn dysgu. A bydd y cyfan yn gwneud synnwyr. Hefyd beth arall - aros moesegol. Mae rhai o'r pethau yr ydych yn dysgu, i chi Gallai defnyddio mewn ffyrdd nad ydynt yn moesegol. Os yw'n eiddo i chi, yn bendant roi cynnig arnynt. Yr wyf yn bendant yn ysgogi chi guys i roi cynnig ar eich gweinyddwyr hun, ceisiwch mynd y tu mewn iddynt. Gweler os gallwch eu treiddio, os gallwch gael y tu mewn iddynt. Ond nid yw unrhyw un arall yn. Nid yw cops ddim yn hoffi'r jôcs a y cyfan, rydym yn rhoi hyn yma. Roeddem yn chwarae o gwmpas. Maent yn cael ddig iawn. Felly, ben ar at y wefan hon. Yr wyf wedi ei agor yn iawn yma. Mae hon yn wefan, ac mae'n Mae gan griw o enghreifftiau. Beth sy'n digwydd yw bod yr enghraifft gyntaf yn fath o yn mynd i fod yn llawer haws na'r enghraifft olaf mewn ystyr bod yr enghraifft gyntaf yn gwbl ansicr. Ac mae'r un olaf yn fath o beth yw Byddai person diogelwch ar y we arferol yn ei wneud. Ond gallwch dal i fod yn fath o fynd o amgylch hynny. Ac rydym yn mynd i ganolbwyntio ar un a dau, enghreifftiau o un a dau. OK. Gadewch i ni ddechrau gyda sgriptio traws-safle. Mae'r JavaScript yn cael ei redeg ar porwr y cleient. Mae'n iaith raglennu rydych yn eu defnyddio i redeg ar porwr y cleient er mwyn Nid oes rhaid i chi ddiweddaru'r wefan a mynd yn ôl at y gweinydd. Mae'n rhaid i chi yn rhedeg. Er enghraifft, Facebook, nid oes gennych i ail-lwytho ar y wefan am statws newydd diweddariadau i ddod i fyny. Mae'n defnyddio JavaScript i gynhyrchu yr holl bethau hyn. Felly, gallwn chwistrellu JavaScript maleisus i mewn i'r gwefannau. Ac y ffordd honno, pan fyddwn yn anfon dolen i rhywun, gallem fath o hanfon gyda'r rhai o'r cod yr ydym am. Mae cyson a heb fod yn gyson JavaScript - gyson a heb fod yn gyson ar draws y safle sgriptio, yr wyf yn ei olygu. A'r gwahaniaeth yw bod parhaus yw JavaScript a fydd yn arbed ar y wefan. A bydd nad ydynt yn gyson yn JavaScript a fydd yn digwydd mewn gwirionedd dim ond unwaith. Felly, gadewch i ni edrych ar enghraifft go gyflym. OK. Felly y wefan hon, yn syml, dim byd yn digwydd yma. Ac rydym yn mynd i geisio osod rhywfaint o JavaScript. Felly, y ffordd yr ydym yn dechrau ysgrifennu JavaScript yw ein dechrau gyda'r dechrau script. Ac rydym yn cau gyda sgript. Rydym yn syml, yn mynd i roi neges - Byddaf yn dangos i chi - effro. Rhybudd yn swyddogaeth sy'n JavaScript defnyddio i arddangos rhywbeth. Felly gadewch i ni roi cynnig arni go gyflym. Rydw i'n mynd i fynd, helo effro. Wel, yr wyf yn anghofio i roi - OK. Felly dyna syml. Rydym yn rhoi JavaScript ar wefan, a daeth i fyny. Ac mae'n fath o ond yn digwydd ar ein gwefan, dde? Felly, mae'n ymddangos fel nad yw'n broblem, dde? Yr wyf yn golygu, sut y gallech ddefnyddio'r hyn yn faleisus? Felly, y ffordd y mae hacwyr yn gwneud mae hyn yn syml iawn. Maent yn mynd i chrafangia '. Gallant anfon y ddolen hon i chi. Os byddaf yn anfon y ddolen hon i chi ar hyn o bryd, ac rydych yn agor i fyny, mae'n mynd i dweud, helo, yn dweud bod fy ngwefan yn dweud wrthych helo. Ac felly pe bawn yn dweud rhywbeth ychydig bach yn fwy craff, os wyf yn tynnu i fyny JavaScript swyddogaeth yr wyf yn fath o eisoes yn ysgrifennu - ond os ydych yn edrych arno, byddaf yn mynd drosto cyn i mi ei ysgrifennu. Felly, rydym yn mynd i osod terfyn amser. Rydym yn mynd i aros am eiliad cwpl. Yn wir, rydym yn mynd i aros am, os Dydw i ddim yn camgymryd, bum eiliad. Mae hyn yn mynd yn milieiliadau. Ac yna beth ydym yn mynd i wneud yw ein bod yn mynd i roi gwybod bod y mewngofnodi amseru allan i fewngofnodi yn ôl i mewn Ac rydym yn mynd i newid y lleoliad i leoliad gwahanol. Felly os wyf yn anfon y wefan hon i rywun, maent yn mynd i fod pori o gwmpas, tawel. Nid oes dim yn digwydd. Ac mewn pum eiliad, mae'n mynd i ddweud, eich mewngofnod wedi dod i ben. Os gwelwch yn dda mewngofnodi yn ôl i mewn Unwaith y byddant cliciwch OK, dw i'n mynd i mynd â nhw i wefan arall. Yn ôl pob tebyg, mae'r wefan yn mynd i yn debyg i'r gwefan sy'n oeddent yn blaen. Ac maen nhw'n mynd i gofnodi eu cymwysterau i mewn i fy ngwefan yn hytrach na eu gwefan. Ac felly y gallaf anfon pobl i anfon e-bost gyda'r ddolen hon. Yr wyf yn dweud, oh, dyma ddolen. Mae hwn yn banc, er enghraifft. Yr wyf yn ei ddweud, dyma, ewch ar y ddolen hon. Ac ar ôl iddynt anfon, eu bod yn mynd i fod yn pori o gwmpas. Alla i ddim aros am 15 eiliad, 20 eiliad, ac yna pop hynny os gwelwch yn dda mewngofnodi yn ôl yn llofnodi yn ôl ar. Gallwch guys roi cynnig arni gyda llawer mwy o bethau. Mae'n gymhleth oherwydd eich bod guys Nid yw wedi gweld JavaScript, er mwyn i chi efallai yn gwybod rhai swyddogaethau. Ond mae pob rhaid i chi ei wneud yw dechrau gyda sgript, yn dod i ben gyda sgript. A allech chi roi unrhyw beth yn y canol. Rhybudd yn swyddogaeth, aros am. Lleoliad ffenestri yn mynd â chi i leoliad newydd. Ond gallwch wneud cymaint mwy. Ac felly mae'r syniad yw bod rydym yn cymryd hynny i ffwrdd. Os byddaf yn mynd i enghraifft dau, ac yr wyf yn rhoi yn yr un cod, mae'n ddim yn mynd i weithio. Felly, mae'n argraffu popeth allan oherwydd beth y wefan hon yn wreiddiol yn cael ei os wyf yn rhoi dim yma, bydd yn ei hargraffu yma. Felly, nid yw'n argraffu unrhyw beth allan. Mae'r enghraifft hon yn gwirio mewn gwirionedd i weld os sgript yno. Felly ie, mynd yn ei flaen. Gofyn i mi. GYNULLEIDFA: Onid yw anfon a chael neu bostio cais? LUCIANO Arango: Yeah. eu bod yn anfon cais get. GYNULLEIDFA: Mae'n? LUCIANO Arango: Yeah. Hefyd borwyr yn defnyddio ceisiadau post. Ond dw i'n ceisio dangos ceisiadau get fel y gallwn weld beth sydd mewn gwirionedd yn digwydd. Ac felly os ydym yn edrych ar y cod hwn - felly nid yw'n gweithio anymore. Ac os ydym yn edrych ar y cod hwn, mae'n mynd i fod yn enghraifft dau. Pa person hwn yn ei wneud, bydd y person yn gyfrifol am y porwr hwn - agor, OK - yn disodli'r gair sgript. Mae hyn yn PHP, a allai chi guys wedi gweld ychydig o eto. Mae'n dim ond disodli'r sgript gair gydag enw. Felly, fodd bynnag, os byddaf yn mynd yn ei flaen a dim ond rhoi i mewn - os byddaf yn cydio fy cod eto, ac rwy'n mynd i addasu ychydig bach. Yn hytrach na sgript, dwi'n mynd i newid ar gyfer Sgript gyda chyfalaf R. A rydym yn mynd i weld os y cod hwn yn gweithio. Felly, nid oedd yn ei hargraffu, sydd yn arwydd da. A, gobeithio, mewn dau eiliad mwy, mae'n mynd i pop i fyny. Eich mewngofnodi wedi dod i ben. OK. Mae hynny'n iawn. Felly, gwirio am sgript gallai nid o reidrwydd yn gweithio. Y person - gall hefyd wirio am priflythyren sgript, llythrennau bach sgript, achos str cymharu, gwnewch yn siŵr eu bod yn yr un fath. Ond gall y haciwr yn dal i wneud math o beth gwnaethom yn Vigenere pan symudon ni cymeriadau yn ôl cwpl, symud ymlaen. A gall chyfrif i maes sut i roi sgript yn ôl yno fel y gellir ei chwistrellu y sgript. Felly, yr hyn yr ydych am ei ddefnyddio yn htmlspecialchars i ddiogelu eich gwefan. A beth mae hyn yn ei wneud yw ei fod yn gwneud siŵr bod yr hyn eich rhoi mewn - er enghraifft, dyfynbrisiau neu hyn fwy na neu'n llai na - yn cael ei ddisodli gyda rhywbeth na fydd yn - gadewch i mi chwyddo i mewn yma - y ampersand gwirioneddol. Bydd yn disodli'r rhai HTML arbennig cymeriadau y byddwn yn gweld pan fyddwn yn siarad am - oh, mae hyn yn mynd i fynd â mi yn ôl i - cymeriadau hyn yn iawn yma. Mae'r rhain yn arwydd bod rhywbeth yn dod. Ar gyfer HTML, hynny dechrau braced yn dweud wrthym fod rhywbeth Gysylltiedig HTML yn dod. Ac rydym am i gael gwared o hynny. Nid ydym am i roi HTML i mewn i website.k Nid ydym am i'r defnyddiwr fod yn gallu rhoi rhywbeth yn eu gwefan a all effeithio ar eu gwefan, fel sgript neu HTML neu rywbeth fel 'na. Yr hyn sy'n bwysig yw eich bod glanweithio y mewnbwn defnyddwyr. Felly, gall y defnyddwyr mewnbwn llawer o bethau. Y gall mewnbwn criw o bethau i roi cynnig ar twyllo eich porwr i yn dal i rhedeg y cod script. Beth ydych am ei wneud yw nid yn unig yn edrych ar gyfer sgript, ond yn edrych am bopeth a allai fod yn faleisus. A bydd htmlspecialchars gwneud hynny i chi, felly nad oes gennych i chi boeni am y peth. Ond peidiwch â cheisio gwneud eich pen eich hun fath o gyda eich cod eich hun. A yw pawb yn glir ar XSS? OK. Gadewch i ni fynd i'r pigiad SQL. Felly pigiad SQL Mae'n debyg mai dyma'r rhif un yn agored i niwed mewn gwahanol wefannau. Yr wyf yn golygu, yn enghraifft dda - Yr oeddwn yn ymchwilio bellaf am y peth hyn. Ac yr wyf yn dod o hyd i erthygl anhygoel hwn, lle Yr wyf yn gweld bod Harvard cael ei dorri, cael ei hacio. Ac yr wyf yn meddwl tybed, yn dda, sut y byddent yn ei wneud? Harvard yw'r mwyaf anhygoel, y rhan fwyaf sicrhau brifysgol erioed. Iawn? Yn dda, i dorri y gweinyddwyr, y hacwyr yn defnyddio techneg o'r enw pigiad SQL. Felly, mae hyn yn digwydd o ddydd i ddydd. Mae pobl yn anghofio i ystyried i'w chwistrellu SQL. Harvard yn ei wneud. Rwy'n credu ei fod yn dweud yma, Princeton, Stanford, Cornell. Felly, sut yr ydym yn - felly beth yw'r SQL hwn chwistrellu sy'n dod â'r rhain i gyd pobl i lawr? OK. Felly SQL yn iaith raglennu sy'n rydym yn eu defnyddio i gael mynediad at gronfeydd data. Yr hyn yr ydym yn ei wneud yw ein Dewiswch - felly beth mae hyn yn darllen ar hyn o bryd yn dethol popeth o'r tabl. SQL, mae'n newid i gronfeydd data hyn sydd â tablau llawn gwybodaeth. Felly dewiswch popeth o ddefnyddwyr lle yr enw yn enw defnyddiwr. Iawn? Yn ddigon syml. Mae'r syniad o SQL pigiad yw ein bod yn osod rhywfaint cod maleisus a fyddai'n twyllo y gweinydd i redeg rhywbeth wahanol i'r hyn y mae'n ei yn wreiddiol yn rhedeg. Felly, gadewch i ni ddweud am enw defnyddiwr, rydym yn rhoi i mewn neu 1 yn dychwelyd 1. Felly, rydym yn rhoi i mewn neu 1 yn dychwelyd 1. Bydd y ffordd y bydd yn darllen yn awr yn dewis gan ddefnyddwyr, popeth o defnyddwyr - mae hyn yn popeth - lle mae enw i yw enw defnyddiwr, ond enw defnyddiwr neu 1 yn dychwelyd 1. Felly enw i yw dim neu 1 yn dychwelyd 1. 1 yn dychwelyd 1 bob amser yn wir. Felly, bydd hyn bob amser yn dychwelyd gwybodaeth gan y defnyddwyr. OK. Nid oes angen inni gael y enw defnyddiwr yn gywir. Allwn gael unrhyw beth yr ydym am ei gael, a bydd yn dychwelyd gwybodaeth ei angen arnom. Gadewch i ni edrych ar enghraifft arall. Os ydym wedi dewis popeth o ddefnyddwyr, lle mae enw i yw defnyddwyr TABL GALW - felly beth ydych chi'n meddwl y bydd hyn yn ei wneud os wyf yn rhoi yn yr enw defnyddiwr fel defnyddwyr TABL GALW? Dylai unrhyw un gennych syniad? Ie. GYNULLEIDFA: Mae'n mynd i ddweud wrth i adael yr holl dablau. LUCIANO Arango: Mae'n mynd i ddweud wrthym i adael popeth yn y wefan, popeth yn y gronfa ddata. A beth mae pobl ddefnyddio hwn ar gyfer - felly Rydw i'n mynd i ddangos i chi guys. Yr wyf yn anabl gollwng y tablau oherwydd doeddwn i ddim am i chi guys i ollwng fy tablau. Gadewch i ni edrych ar hyn. Felly, mae hyn yn syml yn tynnu i fyny 'r wybodaeth ar gyfer person penodol. Felly, sut rydym yn gwybod os yw hyn yn heffeithio gan chwistrelliad SQL. Rydym yn mynd i wirio gyflym go iawn os gallwn roi rhywbeth - gadewch i mi gopïo cod hwn. Rydw i'n mynd i fynd drosto mewn eiliad. Rydw i'n mynd i roi gwraidd a 1 yn dychwelyd 1. Mae'r hawl yma, mae hyn yn arwydd y cant 23 - yr hyn y mae mewn gwirionedd, os wyf yn edrych yn iawn yma yn - y ffordd y HTML yn cymryd yn y niferoedd, os ydych yn yn edrych ar pan fyddaf yn rhoi mewn lle yma - pe bawn yn lle rhywbeth yma, mae'n newid i cant 2. A ydych yn guys yn gweld hyn yn iawn yma pan fyddaf yn rhoi mewn lle? Mae'r ffordd y mae'n gweithio yw eich bod dim ond anfon gwerthoedd ASCII drwy HTML. Felly, mae'n cymryd lle, er enghraifft, gofod gyda 20 y cant. Nid wyf yn gwybod os ydych yn guys wedi gweld hynny o'r blaen. Mae'n disodli hashtag gyda cant 23. Mae angen hashtag ar ddiwedd neu datganiad fel y gallwn ddweud wrth y cronfa ddata i anghofio i roi sylwadau ar y colon olaf ar y diwedd. Ydym am iddo beidio â meddwl am hynny. Rydym yn unig am iddo redeg popeth bod gennym ymlaen llaw ac sylwadau hynny. Gadewch i ni edrych arno. Felly, pe bawn yn rhoi rhywbeth o'i le - gadewch i ni ddweud, er enghraifft, yr wyf yn rhoi 2 hafal 1, nid yw'n rhoi unrhyw beth i mi. Pan fyddaf yn rhoi 1 yn dychwelyd 1, ac mae'n gwneud dychwelyd rhywbeth, mae hyn yn dweud wrthyf fod mae hyn yn agored i pigiad SQL. Yr wyf yn gwybod yn awr fod beth bynnag Yr wyf yn rhoi ar ôl hyn - ac er enghraifft, DROP TABLAU neu rywbeth fel 'na Bydd yn bendant yn gweithio. Yr wyf yn gwybod ei fod yn agored i chwistrelliad SQL oherwydd fy mod yn gwybod bod o dan y cwfl, mae'n gosod i mi wneud y 1 yn dychwelyd 1 peth. OK? Ac os ydym yn edrych ar rai eraill hyn, rhif dau a rhif tri, mae'n mynd i wneud ychydig yn fwy o wirio o dan y cwfl o'r hyn ydyw. Felly dylai unrhyw un galluogi'r gostyngiad unrhyw beth eto neu wedi ceisio? A ydych yn guys fath o gael SQL eto? Gan fy mod yn gwybod nad ydych guys wedi ei weld eto, felly mae'n fath o ddryslyd i chi guys. Gadewch i gymryd golwg. Felly beth yw'r ffordd i atal SQLI? OK. Felly mae hyn yn bwysig iawn oherwydd eich bod guys yn bendant yn awyddus i atal hyn yn eich gwefannau. Os nad yw, eich holl ffrindiau yn mynd i gwneud hwyl am i chi pan fyddant yn galw heibio i gyd eich tablau. Felly, y syniad yw eich bod yn atgyweirio'r SQL mewn ffordd arbennig, tra ydych yn cyfateb yr hyn y mae'r mewnbynnau defnyddiwr llinyn penodol. Felly, y ffordd mae hyn yn gweithio yw eich baratoi'r gronfa ddata. I chi ddewis enw, lliw, a chalorïau o ffrwythau a elwir yn gronfa ddata. Ac yna pan galorïau yn llai na, ac rydym yn rhoi marc cwestiwn yno dweud ein bod yn mynd i mewnbwn rhywbeth mewn eiliad. A lliw yn dychwelyd, ac rydym yn rhoi cwestiwn marc dweud ein bod yn mynd i mewnbwn rhywbeth mewn ail hefyd. OK? Ac yna rydym yn gweithredu ei, gan roi mewn 150 a choch. A bydd hyn yn gwirio i wneud yn siŵr bod y ddau hyn - Bydd amrywiaeth hwn yn sicrhau bod y rhain dau yn cyfanrif a bod hyn yn llinyn. Yna rydym yn mynd, ac rydym yn nôl cyfan, yr ydym yn ei roi mewn coch. Mae hynny'n golygu ein bod nôl bawb. Mae'n golygu ein mewn gwirionedd yn gweithredu y SQL datganiad a'i roi yn ôl yn goch. Yma rydym yn ei wneud yr un fath, ond yr ydym yn wneud yr un peth ar gyfer melyn. Ac rydym yn nôl bawb. Ac yn y modd hwn, byddwn yn atal y defnyddiwr o fod yn gallu rhoi mewnbwn rhywbeth Nid yw bod yr hyn yr ydym yn penodedig, llinyn neu cyfanrif, er enghraifft. Yr oeddwn yn siarad yn gynharach am dibynnu ar eraill. Pan fyddwch yn guys gychwyn ar eich prosiect, rydych yn y rhan fwyaf bendant yn mynd i ddefnyddio y cychwyn neu rywbeth tebyg. Ydych chi guys a ddefnyddir Wordpress erioed? Mae'n debyg eich bod guys wedi defnyddio Wordpress mwyaf tebygol. Felly, y broblem gyda defnyddio pethau pobl eraill - Im 'jyst yn mynd i Google gyflym go iawn Agored i niwed wordpress. Os byddaf yn tynnu hyn i fyny ar hyn o bryd - Yr wyf yn llythrennol wnes i ddwy eiliad Google. Gallwn weld bod Wordpress - hyn yn cael ei dyddio fel Medi '12. 26 yn cael ei ddiweddaru. Mae cyfluniad rhagosodedig Wordpress cyn 3.6 Nid yn atal hyn rhai Llwythiadau, a allai ei gwneud yn haws i ymosodiadau sgriptio traws-safle. Felly stori gyflym, ar ôl i ni yn gweithio gyda - felly oeddwn i, yn yr haf, yn gweithio yn internship. Ac rydym yn gweithio gyda'r math o fel cwmni cerdyn credyd mawr. Ac maent yn dibynnu ar rywbeth a elwir yn - Nid wyf yn gwybod os ydych yn guys chwarae erioed gyda chynnyrch o'r enw Joomla. Joomla yn gynnyrch sy'n cael ei ddefnyddio i rheolaeth - math o debyg i Wordpress, a ddefnyddir i adeiladu gwefannau. Felly, roedd yn rhaid iddynt eu gwefan gweithio ar Joomla. Mae hyn mewn gwirionedd gerdyn credyd cwmni yn Colombia. 'N annhymerus' yn mynd â chi at eu wefan go iawn gyflym. Felly, maent yn defnyddio Joomla. Ac nid ydynt wedi diweddaru Joomla i'r ychwanegiad diweddaraf. Ac felly pan oeddem yn bwrw golwg ar eu cod, rydym yn gallu mewn gwirionedd yn fynd y tu mewn eu cod ac yn dwyn yr holl gwybodaeth cerdyn credyd eu bod wedi, holl rifau cerdyn credyd, enwau, y cyfeiriadau. Ac mae hyn yn unig - ac eu cod yn berffaith iawn. Roedd ganddynt cod mawr. Yr oedd yr holl diogelwch. Maent yn gwirio'r holl gronfeydd data. Maent yn gwneud yn siwr draws y safle sgriptio yn iawn. Ond maent yn defnyddio rhywbeth nad oedd diweddaru, nid oedd hynny'n ddiogel. Ac felly sy'n eu harwain i - er mwyn i chi guys yn bendant yn mynd i ddefnyddio eraill cod, fframweithiau pobl eraill pobl i adeiladu eich gwefan. Gwnewch yn siŵr eu bod yn ddiogel oherwydd weithiau nid yw'n chi, yr un sy'n yn gwneud camgymeriad. Ond mae rhywun arall yn gwneud camgymeriad, a yna rydych yn disgyn i lawr oherwydd hynny. Cyfrineiriau a PII. Felly cyfrineiriau. OK. Gadewch i ni edrych ar cyfrineiriau go gyflym. OK. Os gwelwch yn dda ddweud wrthyf bod pawb defnyddio yn ddiogel - Rwy'n gobeithio pawb yma yn defnyddio cyfrineiriau diogel. Im 'jyst yn gosod y i mewn fel rhagdybiaeth. Felly rydych guys yn bendant yn mynd i storio cyfrineiriau ar gyfer eich gwefannau. Rydych yn mynd i wneud rhywbeth fel mewngofnodi neu rywbeth fel 'na. Beth sy'n bwysig yw peidio storio cyfrineiriau mewn testun plaen. Mae hyn yn hynod o bwysig. Nid ydych am i storio cyfrinair mewn testun plaen. A ydych yn bendant nad ydych wir eisiau i storio mewn un ffordd hash. Felly, beth yw un ffordd hash yw pan fyddwch yn cynhyrchu gair, pan fyddwch yn rhoi hyn gair i mewn i swyddogaeth hash, bydd yn cynhyrchu yn ôl rhyw fath o cryptig neges neu set cryptig o allweddi. 'N annhymerus' yn dangos i chi enghraifft. Rydw i'n mynd i hash y maent yn password1 geiriau. Hash Felly md5 yn mynd i ddychwelyd i mi rhyw fath o wybodaeth 'n annaearol. Y broblem yw bod pobl allan yna yn hoffi i fynd i mewn i wefannau eisoes cyfrifedig allan fath o'r holl hashes md5. Yr hyn y maent yn ei eu bod yn eistedd i lawr ar eu cyfrifiaduron, ac maent yn hashed pob un gair posibl allan yno nes maent yn cael rhyw fath o beth yw hwn. Os wyf yn edrych hyn i fyny - Fi jyst yn gafael yn hash hwn. Os byddaf yn cael hash hwn gan - os byddaf yn mynd i mewn i gwefan, ac yr wyf yn dod o hyd i hash hwn oherwydd fy mod yn cyrraedd y cronfeydd data, ac yr wyf yn edrych i fyny, rhywun eisoes cyfrifedig allan i mi. Yeah. Felly mae pobl yn eistedd i lawr, a beth bynnag md5 hash eich bod yn rhoi i mewn, maent yn mynd i dychwelyd atoch rhywbeth mae hwnnw'n air. Os byddaf yn hash air arall, fel - Nid wyf yn gwybod - trees2. Dydw i ddim eisiau bod yn siomedig gan fy chwiliadau Google. Yno y mae, trees2. Felly mae llawer o wefannau yn dal i ddefnyddio hash md5. Maen nhw'n dweud, oh, mae'n ddiogel. Nid ydym yn storio mewn testun plaen. Mae gennym y hash md5. A'r holl rhaid i mi ei wneud yw dim ond Google y rhif. Nid oes rhaid i mi hyd yn oed i gyfrifo fy hun. Gall Fi jyst Google, ac rywun eisoes yn gwneud hynny i mi. Dyma griw ohonynt. Dyma griw o cyfrineiriau. Felly, yn bendant yn defnyddio hash md5, gan fod yr holl rhaid i chi wneud yw Google hynny. Felly, beth ydych chi eisiau ei ddefnyddio yn lle? OK. Rhywbeth o'r enw graeanu. Felly beth graeanu yw - ydych chi'n guys cofio pan oeddem siarad am ar hap i mewn - Dydw i ddim yn siŵr beth pset ei fod yn - oedd hi pset yno neu bedwar? Rydym yn siarad am ddod o hyd i y nodwydd yn y tas wair. Ac yn y pset, dywedodd y gallech mewn gwirionedd yn chyfrif i maes beth ar hap cynhyrchu oherwydd bod rhywun eisoes yn rhedeg ar hap miliwn o weithiau a dim ond math o ffurfio yr hyn y maent yn ei gynhyrchu. Beth ydych am ei wneud yw rhoi mewn mewnbwn. Felly, dyna beth graeanu fath o yn. Maent eisoes yn cyfrifedig gwybod beth halltu yn dychwelyd ar gyfer pob gwaith. Felly beth graeanu yn ei wneud yn eich bod yn cynnwys halen. Eich rhoi mewn gair penodol. A bydd yn hash y gair hwnnw yn dibynnu ar yr hyn eich rhoi mewn yma. Felly os wyf yn hash un cyfrinair gyda hyn dedfryd, mae'n mynd i hash yn wahanol os byddaf yn hash password1 gyda brawddeg gwahanol. Mae'n fath o rhoi yn rhywle i cychwyn ar gyfer yr stwnsio i ddechrau. Felly, mae'n llawer anoddach i gyfrifo, ond i chi yn dal i gyfrifo, yn enwedig os ydych yn defnyddio halen drwg. Mae pobl eisoes wedi cyfrifedig allan hefyd halwynau cyffredin a cyfrifedig allan beth ei fod yn. Halwynau ar hap yn llawer gwell, ond y ffordd orau yw defnyddio rhywbeth o'r enw crypt. A beth crypt yn caniatáu i chi yn - felly swyddogaethau hyn yn adeiladwyd eisoes i chi. Mae llawer o bobl yn anghofio hynny, neu maent yn anghofio ei ddefnyddio. Ond os wyf yn edrych i fyny PHP crypt, crypt eisoes yn dychwelyd llinyn hash i mi. Ac mae'n mewn gwirionedd yn halwynau sawl gwaith ac hashes sawl gwaith. Felly nid oes rhaid i ni wneud hyn. Felly, rhaid i chi ei wneud yw anfon i mewn crypt. A bydd yn creu hash gwych heb i chi orfod poeni am halen neu unrhyw beth. Oherwydd pe baech yn ei halen, mae gennych i gofio beth halen rydych yn ei ddefnyddio oherwydd os nad yw, ni allwch gael eich cyfrinair yn ôl heb y halen a ddefnyddiwyd gennych. OK. A hefyd adnabod personol gwybodaeth. Nawdd cymdeithasol Felly, cerdyn credyd - mae hynny'n eithaf amlwg. Ond weithiau mae pobl yn anghofio y ffordd y mae'n gwaith hwn yw, faint o wybodaeth yr ydych yn mewn gwirionedd mae angen i ddod o hyd i un person? Rhywun wnaeth astudiaeth o hyn yn ffordd yn ôl. Ac yr oedd fel, os oes gennych enw llawn, ni allwch ddod o hyd i rhywun yn hawdd. Ond beth os oes gennych enw llawn ac mae eu dyddiad geni? A yw hynny'n ddigon i nodi rhywun yn benodol? Beth os ydych wedi cael eu henw a cyfeiriad stryd eu bod yn byw ar? A yw hynny'n ddigon i ddod o hyd i rywun? A dyna pryd maent yn cwestiynu, beth yw gwybodaeth bersonol adnabyddadwy, a beth ddylech chi boeni am beidio â rhoi i ffwrdd? Os ydych yn rhoi bersonol adnabyddadwy i ffwrdd gwybodaeth bod rhywun yn rhoi i chi, gallech o bosibl yn cael eu herlyn. Ac rydym yn bendant yn dymuno hynny. Felly, pan fyddwch yn rhoi eich gwefan allan, ac yr ydych wedi cael 'n sylweddol oera dylunio, gobeithio i chi ei wneud prosiect terfynol awesome. Unrhyw fath o chi eisiau ei roi allan yno. Y byddwch am wneud yn siŵr bod beth bynnag eich bod yn cymryd oddi wrth y defnyddiwr, os yw'n gwybodaeth adnabyddadwy bersonol, rydych yn eisiau gwneud yn siŵr eich bod yn cael mewn gwirionedd ofalus ag ef. Pigiad Shell. OK. Pigiad Shell yn caniatáu i'r lladron i cael mynediad at eich llinell gorchymyn gwirioneddol yn eich gweinydd. Ac felly mae'n gallu rhedeg cod na allwch reoli. Gadewch i gymryd enghraifft o hyn llinyn hardd iawn yma. Os ydym yn mynd i mewn i'r wefan eto, rwy'n mynd i fynd i mewn i cod pigiad. Felly, beth mae hyn yn ei wneud - mae hefyd yn yr hyn yr ydym yn edrych ar blaen. Rydym yn gosod y defnyddiwr roi ym mha mae am, a bydd yn argraffu beth bynnag y dymunwch. Felly, yr wyf i'n mynd i roi galwad. Beth mae hyn yn ei wneud yw - bydd yn dechrau drwy cydgadwyno. Felly, bydd yn gadael i mi redeg beth bynnag gorchymyn rhedeg y person cyn ac ar fy orchymyn. A dwi'n rhedeg gorchymyn system. A llinynnau diwethaf hyn - cofiwch hyn yr wyf yn siarad â chi guys am, tra yn rhaid i chi amgodio mewn dull URL. Os byddaf yn rhedeg hyn yn awr - 'N annhymerus' yn dangos i chi dros yma - byddwch yn gweld fy mod yn dod i ben gorau i redeg gorchymyn. Mae hyn mewn gwirionedd y gweinydd gwirioneddol bod fy ngwefan yn rhedeg ar. Felly, nid ydym yn dymuno hynny, oherwydd gallaf redeg - Nid yw gweinydd hwn yw pwll. Felly, nid wyf am i llanast i fyny ei chwaer, gweinyddwr Marcus yn. Ond gallwch redeg mwy gorchmynion sy'n beryglus. Ac o bosibl, gallech dileu ffeiliau, dileu cyfeirlyfrau. Gallaf dynnu cyfeiriadur penodol os Roeddwn i eisiau, ond dydw i ddim eisiau i wneud hynny i Marcus. Mae'n ddyn neis. Mae'n gadael i mi fenthyg ei gweinydd. Felly, yr wyf i'n mynd i adael iddo oddi ar y un da. Felly, yr hyn nad ydym yn dymuno defnyddio - nid ydym yn ei wneud am ddefnyddio eval neu system. Eval neu'r system yn caniatáu i ni gwneud galwadau system hyn. Dulliau eval gwerthuso. System yn golygu yr hyn yr wyf yn rhedeg. Mae'n cael ei redeg rhywbeth yn y system. Ond gallwn wahardd y pethau hyn yn PHP fel nad ydym yn eu defnyddio. A llwytho i fyny ffeil. Yr oeddwn yn mynd i wneud yn anhygoel peth gyda'r llwytho i fyny ffeil. Ond fel y dywedais wrthych guys, fy ffeil Nid peth llwytho yn gweithio. Os wyf yn i lwytho ffeil ar hyn o bryd - pe bawn i lwytho ffeil, ac mae'n llun - gennych beth llwytho i fyny dyna llun. Mae hynny'n iawn. Nid oes dim yn digwydd. Ond os oes gennych ffeil llwytho i fyny, ar gyfer enghraifft, ac y defnyddiwr mewn gwirionedd Llwythiadau ffeil PHP neu ffeil exe neu rywbeth fel 'na, yna gallech o bosibl gennych broblem. Mae hyn yn gweithio o'r blaen. Yn anffodus i mi, 'i' nad ydynt yn gweithio anymore. Os byddaf yn, er enghraifft, llwytho y ffeil, rwy'n Nid yw cael caniatâd i lwytho y ffeil oherwydd y gweinydd heb fod yn mwynglawdd. Felly y dyn iawn smart. Felly, nid ydym am - Rydw i'n mynd i ddangos i chi guys - OK, dyma rai offer 'n sylweddol oera. Felly hyn - mynd i mewn - os ydych yn guys yn cael Firefox - gobeithio i chi ei wneud. Mae dau adia-ons a elwir yn SQL chwistrellu Fi a Cross-Safle Sgript Me. Maent yn agor cyn lleied ochr bariau ar yr ochr. Ac os wyf yn mynd i CS60 er enghraifft - felly beth mae'n ei wneud yw ei fod yn edrych ar gyfer yr holl ffurfiau - gobeithio, na fyddaf yn cael mewn trafferth ar gyfer hyn. Ond OK. Dyma y system pin. Felly, pan fyddaf yn dechrau chwilio am dyllau yn y system, y peth cyntaf i mi ei wneud yw agor y fach hardd offer ar ochr. Ac yr wyf i'n mynd i brofi ffurflenni ag ymosodiadau auto. Ac felly beth mae hyn yn ei wneud yw bydd yn araf agor bagad o borwyr. Dyma griw o borwyr. Ac mae'n ceisio pob un cyfuniad sgriptio traws-safle bod o bosibl yw, os byddwch yn gweld ar yr ochr. A bydd yn rhoi canlyniad i mi math o beth yw'r ateb. Mae pob pasio. Yn amlwg, maent i gyd yn pasio. Yr wyf yn golygu, maent yn wirioneddol smart bobl i fyny yno. Ond pe bawn yn rhedeg - Rwyf wedi cael gwaith o'r blaen pan fyddaf yn rhedeg y ar brosiectau terfynol y myfyrwyr. Yr wyf yn syml yn rhedeg SQL Chwistrellu Me gyda pob ymosodiadau gwahanol. Ac mae'n ceisio SQL chwistrellu hwn gweinydd pin. Felly, os ydym yn sgrolio i lawr, er enghraifft, mae'n dweud - mae hyn yn dda os bydd yn dychwelyd. Felly mae'n profi rhai gwerthoedd penodol. A 'r gweinyddwr dychwelyd cod a oedd yn negyddol. Dileu dros dro. Mae hyn yn dda. Mae'n ceisio holl brofion hyn. Felly, fe allech chi redeg - Byddwn yn hoffi gallu dod o hyd i gwefan go iawn cyflym a fyddai'n gadael i mi - efallai y siop CS50. Wow, mae hyn yn mynd i cymryd ffordd rhy hir. 'N annhymerus' gadael i'r prawf cyntaf Nid yw gorffen yn iawn. Felly, mae'n cwyno. Felly mae'r rhain yn dri pheth. Mae'r offer hyn yn rhad ac am ddim. Gallwch eu llwytho i lawr ac yn rhedeg ar eich gwefan, a bydd yn dweud wrthych os gennych sgriptio traws-safle, os oes gennych SQL, os oes gennych rhywbeth o yn y blaen. Im 'yn fath o chwarae o hyd. Yr hyn sy'n bwysig - Iawn, felly peidiwch byth yn ymddiried yn y defnyddiwr. Beth bynnag yw'r mewnbynnau defnyddiwr i chi, gwnewch yn siŵr eich bod glanweithio ei, eich bod yn glanhau ei, eich bod yn gwirio am y pethau cywir, ei fod yn rhoi yr hyn yr ydych chi am iddo ei roi i chi. Bob amser yn cael eu diweddaru ar yr hyn y fframweithiau eich bod yn ei ddefnyddio mewn gwirionedd. Os ydych yn defnyddio rhywbeth fel y cychwyn - Yr wyf yn gwybod eich guys yn mynd i ddefnyddio y cychwyn oherwydd ei fod yn mynd i fynd dros hyn yn fuan yn y dosbarth - a Wordpress neu rywbeth fel 'na, Fel arfer, gallai hyn gael ei hacio. Ac yna nad ydych yn hyd yn oed yn gwybod. Rydych yn unig yn rhedeg eich gwefan. Ac mae'n gwbl ddiogel. A ydych yn mynd i lawr. Felly, yr wyf i'n pysgota yn gynnar iawn. Ond yr wyf am ddiolch i Pentest Labs. Rydw i'n mynd i ddangos i chi guys rhywbeth Gelwir Labs Pentest. Os ydych guys yn wir ddiddordeb mewn pa sicrwydd mewn gwirionedd, mae yna gwefan o'r enw Labs Pentest os 'ch guys yn mynd iddo ar hyn o bryd. O, wel, nid yw ei fod yn. Im 'jyst yn mynd i redeg fel hyn. Google yn dweud wrthyf yr ateb. OK. Ac mae'n dysgu defnyddio chi - felly mae'n dweud, yn dysgu treiddiad y we profi'r ffordd iawn. Mae'n dysgu chi - gobeithio, eich bod yn berson moesegol. Ond mae'n dysgu chi sut y gallwch chi edrych ar sut y gallwch gael y tu mewn gwefannau. Ac os byddwch yn dysgu sut y gallwch chi fynd i mewn gwefannau, gallwch ddysgu sut i amddiffyn eich hun rhag cael gwefannau y tu mewn. Gadewch i mi chwyddo i mewn oherwydd efallai eich bod guys Nid yw yn edrych ar yr hawl hon. O pigiad SQL i gragen, felly math o sut y gallaf ei gael gan SQL pigiad i gragen. A ydych yn llwytho i lawr peiriant rhithwir hwn. A'r peiriant rhithwir eisoes yn dod gyda'r wefan eich bod yn yn mynd i roi cynnig arni ar. Chi lawrlwytho PDF hon. A bydd yn dangos i chi linell wrth linell beth rhaid i chi ei wneud, yr hyn yr ydych yn gwirio. Dyma beth ymosodwr mewn gwirionedd yn ei wneud i gael y tu mewn gwefan. Ac mae rhai o'r pethau hyn yn gymhleth. Byddwn yn hoffi gallu mynd dros fwy pethau gyda chi guys. Ond yr wyf yn poeni eich bod guys Nid oes mewn gwirionedd - mae hyn yn beth yr wyf yn mynd drosodd gyda i chi guys, profion ar y we ar gyfer profi treiddio. Ddim yn wir yn gwybod beth SQL a beth - Seminar Carl Jackson yn awesome yn ogystal. Nid ydych guys yn gwybod fath o'r hyn y mae hyn yn. Ond os byddwch yn mynd i'r wefan hon, a'ch bod yn lawrlwytho tiwtorialau hyn ac mae'r rhain yn PDFs, gallwch fwrw golwg ar fath o yr hyn y mae'r ardal o ddiogelwch wir yn mewn profion treiddio, weld sut y gallwch cael gwefannau y tu mewn ac amddiffyn eich hun oddi wrtho. Felly os wyf yn gwneud trosolwg cyflym super, bydd yn cael ei atal sgriptio traws-safle. Ydych am eu defnyddio htmlspecialchars bob amseru mewnbynnau defnyddiwr rhywbeth. Atal pigiad SQL. Os byddwch yn gwneud hynny, rydych yn barod well eu byd nag oedd Harvard pan maent yn cael eu torri. A gwnewch yn siŵr eich cyfrineiriau nad ydynt mewn testun plaen. Gwnewch yn siŵr nad ydych yn unig yn un ffordd hash nhw, ond eich bod yn defnyddio crypt, PHP swyddogaeth yr wyf yn dangos i chi guys. Yn y ffordd, dylech fod yn dda. Hefyd, os yw eich ffrindiau yn gadael i chi, yn rhedeg SQL Chwistrellu Me ar eu gwefannau. Rhedeg sgriptio traws-safle ar eu gwefannau. A byddwch yn gweld llawer o'r gwefannau hyn cael tunnell o agored i niwed. Mae'n anhygoel faint o bobl yn anghofio i glanweithio eu cronfeydd data neu i wneud siŵr beth mewnbynnu y person Nid yw cod script. OK. Yr wyf yn fath o ddod i ben yn gynnar iawn. Ond os oes gan unrhyw un unrhyw gwestiynau am unrhyw beth, gallwch saethu cwestiwn i mi. Yeah. Ewch, ewch. GYNULLEIDFA: Fi jyst am ofyn, a allwch esbonio sut y ffeil llwytho gwaith yn union. LUCIANO Arango: Yeah. Felly, gadewch i mi yn dangos i chi y ffeil llwytho i fyny go gyflym. Felly mae'r llwytho i fyny ffeil - y broblem ffraethineb y llwytho i fyny ffeil ar hyn o bryd yw bod - Rydw i'n mynd i agor y cod er mwyn i chi guys weld y cod y tu ôl i'r llenni. Ac mae'n cael ei llwytho i fyny. Dyma cod ar gyfer y uploader ffeil. Rydym yn ceisio i fynd i mewn i hyn cyfeiriadur dros yma. Ac rydym yn ceisio, ar ôl i ni mewnbwn y ffeil, ffeil ISSET - felly pan fydd ffeilio yn FILES, y ddelwedd, yna rydym yn ceisio ei symud yma. Rydym yn chrafangia 'r ffeil dros yma. Mae'r dull yn POST, math, delwedd, ffeil. Ac rydym yn anfon y ffeil. Ac yna ar ôl i ni ei gael, felly unwaith ffeil Mae delwedd, rydym yn ceisio ei hanfon i'r cyfeiriadur. Y broblem yw nad yw'r wefan yn adael i mi fynd i'r cyfeiriadur, oherwydd nad yw'n am i mi fynd yn ôl. Nid yw'n am i mi i fynd - Rhaid i mi fynd - wedi llwytho i fyny hynny yma. Dyma delweddau. Rhaid i mi fynd yr holl ffordd yn ôl i'r dechrau a'i roi yn y fan a'r lle mynd ac yn ei roi i mewn i'r cyfeiriadur. Felly os oeddwn yn rhedeg ffenest terfynell, ac roeddwn i eisiau symud ffeil - [Anghlywadwy] ei weld. Os wyf eisiau symud ffeil, rwyf wedi i roi enw'r ffeil ac yna llwybr cyflawn wyf am ei anfon at. Ac yna nid yw'r gweinydd yn adael i mi fynd yn ôl. Ac felly nid yw'n gosod i mi fynd i'r ffeil. Ond fel arfer - felly mae cod ar gyfer lanlwytho ffeil. Felly, fel arfer yn beth fydd yn digwydd yw bod y Nid yw person wedi gwirio os bydd fy ffeil dod i ben gyda. jpeg, felly yr wyf yn fyddai eisiau i wirio. Gadewch i mi agor enghraifft yn rhy go gyflym. OK. Mae'r person cywir - felly er enghraifft dau yn gwirio os preg_match - dyma ei fod yn dros yma - i wneud yn siŵr sy'n dod i ben gyda PHP, sy'n dda. Mae hyn yn dda. Ond mae 'na fawr go iawn broblem gyda hyn. Mae hyn yn dda. Ond pe bawn yn rhoi ffeil o'r enw myfavoritepicture.php.jpeg, gallwn dal i fod yn bosibl cael gwared ar y jpeg ac yn rhedeg it.k Bod PHP yn beryglus. Dydych chi ddim am i'r person allu i redeg cod ar eich gwefan. Ond yna. Jpeg gadael iddo fynd heibio. Y syniad yw hyn yr ydych wir eisiau ei wneud nid yw'n cymryd ffeil, A. Ond, OK, beth ydych wir eisiau ei wneud yw sicrhau bod eich bod yn darllen dros y byd i gyd. A does dim byd. Php ynddo. Does dim php yn y. enw ffeil gyfan. GYNULLEIDFA: Ond gallech rhoi. jpeg ar y diwedd. Mae'r gweinyddwyr yn dal i redeg y cod. LUCIANO Arango: Na, ni fydd yn rhedeg ar y dechrau. Rhaid i chi fynd yn ôl a cheisio i weld os gallwch - GYNULLEIDFA: Felly mae'n rhaid i ni - OK, dim ond set arall sy'n cynnwys - LUCIANO Arango: Yeah. GYNULLEIDFA: OK. LUCIANO Arango: Yeah. OK. Unrhyw gwestiynau eraill? OK. Rydw i'n mynd i adael hyn i fyny a threfnu o ceisio gweld os gallwch chi guys - y rhai eraill yn ychydig yn fwy cymhleth oherwydd eu bod angen llawer o mwy o SQL gwybodaeth na dim ond y ddechrau gwybodaeth am SQL we yn a beth JavaScript. Ond dw i'n mynd i geisio cadw hyn i fyny, a gobeithio y byddwch yn guys yn dysgu am hyn ac yn ceisio cymryd cipolwg ar beth y gallwch ei wneud a sut llawer o enghreifftiau y gallwch ei gael drwy. Dylai unrhyw un yn cael unrhyw un arall gwestiynau am y peth? Fynd yn ei flaen. Yeah, saethu, saethu. Yeah, mynd yn ei flaen. Fynd yn ei flaen. GYNULLEIDFA: OK. Felly, yr wyf wedi clywed am sut Dyfyniadau Hud nid ydynt yn ddigon cadarn. LUCIANO Arango: Beth - Dyfyniadau hud? GYNULLEIDFA: Yeah. Felly, mae'n ychwanegu - felly pryd bynnag y byddwch mewnbwn rhywbeth, mae bob amser yn ychwanegu dyfyniadau. LUCIANO Arango: Yeah. Yeah. OK. GYNULLEIDFA: Ac yna mi er oedd yn gweithio, ond yna yr wyf yn chwilio i fyny. Ac mae'n dweud nad ei fod yn dda. Ond dydw i ddim yn siŵr pam. LUCIANO Arango: Yeah. GYNULLEIDFA: Peidiwch â defnyddio Dyfyniadau Hud, gan nad yw'n ddiogel. LUCIANO Arango: OK. Dyfyniadau Felly Magic yw pan fyddwch yn mewnosod SQL ac mae eisoes yn ychwanegu y dyfyniad i chi. GYNULLEIDFA: Mae bob amser yn ychwanegu dyfyniadau o gwmpas beth bynnag yr ydych yn rhoi i mewn LUCIANO Arango: Yeah. Felly, y broblem gyda hynny yw bod - 'N annhymerus' yn edrych ar - GYNULLEIDFA: Sut mae'n caffael y datganiad SQL? Neu Amcana gallai fod yn fel dyfyniad dewis. LUCIANO Arango: Yeah, mae angen i chi dyfyniadau da ar gyfer y SQL. GYNULLEIDFA: Nac oes, ond y gweinydd yn gwneud hynny ar eich rhan. LUCIANO Arango: Mae'r rhain dyfyniadau bach i'r dde yma, dyfyniadau bach hyn? GYNULLEIDFA: Yeah. LUCIANO Arango: Yeah. Y broblem yw eich bod yn gallu sylwadau ar yr olaf - Iawn, felly beth y gallaf ei wneud yw allaf wneud sylwadau allan - felly gadewch i ni edrych ar - gadewch i mi agor ffeil golygu testun. Gadewch imi golygu'r i'r dde yma yn uniongyrchol. OK. Allwch chi guys yn gweld bod yn glir? Yr hyn y gallaf ei wneud yw allaf roi sylwadau y cafodd yr un olaf. Bydd hyn yn rhoi sylwadau ar y un diwethaf. Ac yna byddaf yn rhoi un yma, rhowch holl bethau maleisus yma. Felly, y defnyddiwr mewn gwirionedd mewnbynnu, dde? Nad yw'r defnyddiwr wedi mewnbynnu y pethau, dde? Mae hyn yn hyn yr wyf i'n mynd i gyfrannu fel y person sy'n ceisio cael y tu mewn. Rydw i'n mynd i roi i mewn - dyna un marc dyfynbris. 'I' jyst squiggly drwy gamgymeriad. Ac yna yr hyn y mae'r cod yn mynd i'w wneud - ddrwg gennym, dw i'n mynd i gymryd hyn allan. Beth mae'r cod yn mynd i wneud yw mae'n mynd i ychwanegu'r cyntaf dyfynbris marciau yma. Ac mae'n mynd i ychwanegu'r olaf dyfynnod hefyd. Ac mae hefyd yn mynd i ychwanegu'r ddiwethaf dyfynnod diwethaf,. Ond dw i'n gwneud sylwadau hyn dyfyniad yn nodi allan, felly nid ydynt yn rhedeg. A dwi'n gorffen dyfyniad hwn nodi dros yma. Ydych chi'n deall? Wyt ti ar goll? Gallaf roi sylwadau y dyfyniad diwethaf marcio, ac yn gofalu am y marc dyfyniad cyntaf. GYNULLEIDFA: A gorffen yn unig yr un cyntaf. LUCIANO Arango: Yeah. Ac yn union orffen yr un cyntaf. Yeah, mae hynny'n iawn. Dyna beth y gallaf ei wneud. Yeah. Unrhyw gwestiynau eraill fel 'na? Dyna gwestiwn mawr. Na, ie, efallai. Gobeithio, byddwch yn guys fath o wneud mwy o synnwyr pan fyddwch yn astudio SQL a pethau fel 'na. Ond gwnewch yn siŵr eich bod - cadw offer hyn yn gwylio. Mae'n ddrwg gennym, offer hyn dros yma. Mae'r offer hyn yn wych. Os oes gan unrhyw un unrhyw gwestiynau, gallwch hefyd e-bost ataf. Mae hyn yn fy e-bost arferol. Ac mae hyn yn fy e-bost gwaith, sy'n yw pan fyddaf yn gweithio yn MOROEDD. OK, diolch. Ddiolch, guys. Rydych yn dda i fynd. Nid oes rhaid i chi aros yma. Peidiwch â glapio. Dyna 'n annaearol. OK, diolch, guys.