1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> Luciano Arango: OK, knaboj. 3 00:00:10,300 --> 00:00:11,550 Mia nomo estas Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Mi estas duan en Adams Domo. 5 00:00:13,915 --> 00:00:17,550 Kaj ni iras por paroli pri retejo sekureco aktiva defendo. 6 00:00:17,550 --> 00:00:24,220 Do mi laboras por la Oficejo de Informo Sekureco en maroj. 7 00:00:24,220 --> 00:00:28,670 Kaj super la somero, mi internigita ĉe SeguraTec, kiu estis informo 8 00:00:28,670 --> 00:00:31,310 sekureco kompanio kiu servis cxar la Banko de Columbia. 9 00:00:31,310 --> 00:00:34,740 Tio estas plejparte kie mi lernis kion mi lernis ĝis nun. 10 00:00:34,740 --> 00:00:37,990 >> Kaj do kelkaj el la materialo kiun ni estas tuj transiru hodiaŭ, ni havas ne 11 00:00:37,990 --> 00:00:39,670 vere raportis en klaso. 12 00:00:39,670 --> 00:00:40,410 Sed ni baldaux. 13 00:00:40,410 --> 00:00:42,360 Ĝi tuj estos kiel SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 Kaj ni ne vere iris trans ĝin. 15 00:00:44,870 --> 00:00:47,730 Do mi povas ordigi de flugo tra ĝi, kaj eble vi ne konas iujn aferojn. 16 00:00:47,730 --> 00:00:48,890 Sed baldaŭ, vi lernos ĝin. 17 00:00:48,890 --> 00:00:52,080 Kaj gxi donos cxiujn sencon. 18 00:00:52,080 --> 00:00:54,010 Ankaŭ alia afero - 19 00:00:54,010 --> 00:00:55,780 resti etikaj. 20 00:00:55,780 --> 00:01:00,560 Kelkaj el la aferoj ke vi lernas, vi povus uzi en ne-etika konduto. 21 00:01:00,560 --> 00:01:01,950 >> Se ĝi estas via, definitive provu. 22 00:01:01,950 --> 00:01:04,500 Mi definitive motivi you guys provi viajn proprajn servilojn, provu 23 00:01:04,500 --> 00:01:05,519 iras ene de ili. 24 00:01:05,519 --> 00:01:08,500 Vidu se ili povas penetri ilin, se vi povas ricevi ene de ili. 25 00:01:08,500 --> 00:01:09,560 Sed ne al iu ajn alia. 26 00:01:09,560 --> 00:01:12,390 Policanoj ne vere ŝatas la ŝercoj kaj la tuton, ni metas ĉi tie. 27 00:01:12,390 --> 00:01:14,040 Ni estis rompado ĉirkaŭe. 28 00:01:14,040 --> 00:01:15,780 Ili ricevas vere koleros. 29 00:01:15,780 --> 00:01:18,700 >> Do estrus super al ĉi tiu retejo. 30 00:01:18,700 --> 00:01:23,560 Mi havas ĝin malfermis ĝuste ĉi tie. 31 00:01:23,560 --> 00:01:26,780 Ĉi tiu estas paĝaro, kaj ĝi havas faskon da ekzemploj. 32 00:01:26,780 --> 00:01:30,000 Kio okazas estas ke la unua ekzemplo estas ia tuj estos multe pli facile 33 00:01:30,000 --> 00:01:33,470 ol la lasta ekzemplo en senco ke la unua ekzemplo 34 00:01:33,470 --> 00:01:34,970 estas tute necerta. 35 00:01:34,970 --> 00:01:40,850 Kaj la lasta estas speco de kia normala ttt sekureco persono farus. 36 00:01:40,850 --> 00:01:42,760 Sed vi povas ankoraŭ speco de akiri ĉirkaŭ tiu. 37 00:01:42,760 --> 00:01:44,860 Kaj ni tuj enfokusigi sur unu Kaj du, ekzemploj unu kaj du. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Ni komencu per kruc-ejo scripting. 41 00:01:52,780 --> 00:01:56,100 La JavaScript estas kuri sur la kliento retumilo. 42 00:01:56,100 --> 00:01:59,980 Ĝi estas programlingvo, kiun vi uzos kuri sur la kliento retumilo tiom 43 00:01:59,980 --> 00:02:04,120 Vi ne devas ĝisdatigi la retejon kaj reiri al la servilo. 44 00:02:04,120 --> 00:02:04,940 Vi havas ĝin kuri. 45 00:02:04,940 --> 00:02:08,870 Ekzemple, Facebook, vi ne havas reŝargi la retejo por nova statuso 46 00:02:08,870 --> 00:02:09,710 ĝisdatigojn veni supren. 47 00:02:09,710 --> 00:02:12,170 Oni uzas JavaScript por generi cxiuj tiuj aferoj. 48 00:02:12,170 --> 00:02:16,290 Do ni povas injekti malican JavaScript en la retejoj. 49 00:02:16,290 --> 00:02:20,890 Kaj tiu vojo, kiam ni sendos ligon al iu, ni povus ia sendu ĝin per 50 00:02:20,890 --> 00:02:23,050 kelkaj el la kodo kiun ni deziras. 51 00:02:23,050 --> 00:02:26,450 >> Tie estas konstanta kaj ne-persista Javascript - 52 00:02:26,450 --> 00:02:30,640 persista kaj ne-persista kruco-ejo skripta, mi volas diri. 53 00:02:30,640 --> 00:02:33,760 Kaj la diferenco estante tiu persista estas JavaScript kiu estos 54 00:02:33,760 --> 00:02:36,060 savita en la paĝo. 55 00:02:36,060 --> 00:02:39,780 Kaj ne-persista estos JavaScript ke efektive nur okazi iam. 56 00:02:39,780 --> 00:02:41,795 Do ni rigardu ekzemplon reala rapida. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Do ĉi tiu TTT-ejo, simpla, nenio okazas cxi tie. 60 00:02:51,620 --> 00:02:53,070 Kaj ni tuj provi enŝovu iun JavaScript. 61 00:02:53,070 --> 00:02:58,110 Do la vojon ni komencas skribi JavaScript estas ni komencu per la komenco skripto. 62 00:02:58,110 --> 00:03:00,570 Kaj ni fermas ĝin per skripto. 63 00:03:00,570 --> 00:03:03,770 Ni simple tuj meti mesaĝon - 64 00:03:03,770 --> 00:03:05,410 Mi montros al vi - 65 00:03:05,410 --> 00:03:06,500 garde. 66 00:03:06,500 --> 00:03:11,150 Garde estas funkcio kiu JavaScript uzu por montri ion. 67 00:03:11,150 --> 00:03:12,400 Do ni provu ĝin reala rapida. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Mi tuj iros, garde saluton. 70 00:03:18,944 --> 00:03:20,400 Nu, mi forgesis meti - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Do tio estas simpla. 74 00:03:26,540 --> 00:03:28,730 >> Ni metis Ĝavaskripton en retejo, kaj ĝi elkreskis. 75 00:03:28,730 --> 00:03:31,200 Kaj gxi ian nur okazas sur nia retejo, ĉu ne? 76 00:03:31,200 --> 00:03:33,040 Do ĝi ŝajnas kiel ĝi ne estas problemo, ĉu ne? 77 00:03:33,040 --> 00:03:34,920 Mi volas diri, kiamaniere vi povis uzi ĉi malice? 78 00:03:34,920 --> 00:03:39,930 Do la formo kiu hackers fari tio estas vere simpla. 79 00:03:39,930 --> 00:03:40,970 Ili tuj kaptu ĝin. 80 00:03:40,970 --> 00:03:43,750 Ili povas sendi tiun ĉi ligon al vi. 81 00:03:43,750 --> 00:03:46,780 Se mi sendos tiun ĉi ligilon al vi ĝuste nun, kaj malferminte ĝin, ŝi tuj 82 00:03:46,780 --> 00:03:51,620 diri, saluton, dirante, ke mia retejo Estas diras al vi saluton. 83 00:03:51,620 --> 00:03:57,280 >> Kaj tial, se mi dirus ion iom inteligenta, se mi tiri supren 84 00:03:57,280 --> 00:03:59,880 Javascript funkcion mi specon de la jam skribis - 85 00:03:59,880 --> 00:04:03,940 sed se vi rigardas ĝin, mi iros super ĝi, antaŭ ol mi skribis ĝin. 86 00:04:03,940 --> 00:04:06,650 Do ni iras, por kontrauxmeti tempolimo. 87 00:04:06,650 --> 00:04:08,450 Ni tuj atendi paro sekundoj. 88 00:04:08,450 --> 00:04:13,970 Fakte, ni tuj por atendi, se Mi ne eraris, kvin sekundoj. 89 00:04:13,970 --> 00:04:15,870 Ĉi tio iras en milisekundoj. 90 00:04:15,870 --> 00:04:18,640 Kaj poste, kion ni faros estas ni tuj alarmus ke la ensaluto 91 00:04:18,640 --> 00:04:21,459 ekster la datlimo, por ensaluti re-ensalutu 92 00:04:21,459 --> 00:04:23,990 Kaj ni tuj ŝanĝos la situo al malsama situo. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Do, se mi sendas tiun retejon por iu, ili tuj estos 95 00:04:32,970 --> 00:04:34,380 foliumantaj ĉirkaŭe, trankvila. 96 00:04:34,380 --> 00:04:35,650 Nenio okazas. 97 00:04:35,650 --> 00:04:38,550 Kaj en kvin sekundoj, ĝi okazas diri, via salutnomo ekster la datlimo. 98 00:04:38,550 --> 00:04:40,200 Bonvolu ensaluti re-ensalutu 99 00:04:40,200 --> 00:04:43,400 Iam oni klaku OK, mi tuj prenu ilin al alia retpaĝaro. 100 00:04:43,400 --> 00:04:45,980 Supozeble, la retejo tuj esti simila al la retejo kiu 101 00:04:45,980 --> 00:04:47,280 ili estis en antaŭe. 102 00:04:47,280 --> 00:04:50,770 Kaj ili tuj ensaluti iliaj akreditaĵojn en mian retejon anstataŭ 103 00:04:50,770 --> 00:04:51,850 ilia paĝaro. 104 00:04:51,850 --> 00:04:54,780 >> Kaj tial mi povas sendi al homoj la retposxtu per ĉi tiu ligilo. 105 00:04:54,780 --> 00:04:56,240 Mi diros, ho, jen ligilo. 106 00:04:56,240 --> 00:04:57,290 Tio ĉi estas banko, ekzemple. 107 00:04:57,290 --> 00:05:01,390 Mi diras, tien, iru en tiun ligilon. 108 00:05:01,390 --> 00:05:03,730 Kaj unufoje ili sendu gxin, ili estas tuj estos foliumantaj ĉirkaŭe. 109 00:05:03,730 --> 00:05:07,560 Mi povas atendi dum 15 sekundoj 20 sekundoj, kaj tiam pop ke bonvolu ensaluti reen en 110 00:05:07,560 --> 00:05:08,840 subskribi dorson. 111 00:05:08,840 --> 00:05:10,120 Vi infanoj povas provi ĝin kun multe pli da aĵoj. 112 00:05:10,120 --> 00:05:13,190 Ĝi estas komplika, ĉar vi infanoj ne vidis JavaScript, do vi eble 113 00:05:13,190 --> 00:05:14,750 Ne scias iujn funkciojn. 114 00:05:14,750 --> 00:05:18,625 Sed ĉiuj vi devas fari, estas komenco per skripto, fini kun skripto. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 Kaj vi povus meti ion en la mezo. 117 00:05:25,510 --> 00:05:27,350 >> Garde estas funkcio, atendu. 118 00:05:27,350 --> 00:05:29,365 Fenestro situo prenas vin al nova loko. 119 00:05:29,365 --> 00:05:31,370 Sed vi povas fari tiel multe pli. 120 00:05:31,370 --> 00:05:32,630 Kaj tial la ideo estas ke ni prenu, ke ekstere. 121 00:05:32,630 --> 00:05:39,350 Se mi iras al ekzemple du, kaj mi meti en tiu sama kodo, ĝi estas 122 00:05:39,350 --> 00:05:40,210 ne tuj funkcias. 123 00:05:40,210 --> 00:05:43,620 Do ĝi estas presanta ĉio ĉar kion ĉi retejo origine 124 00:05:43,620 --> 00:05:50,350 faras estas, se mi metos ion ĉi tie, gxi devos printi ĝin ĉi tie. 125 00:05:50,350 --> 00:05:52,390 Do ĝi ne estas presi ion eliri. 126 00:05:52,390 --> 00:05:55,560 Ĉi tiu ekzemplo estas reale kontrolanta Por vidi, cxu skripto estas tie. 127 00:05:55,560 --> 00:05:57,163 Do jes, iru antaŭen. 128 00:05:57,163 --> 00:05:57,606 Petu min. 129 00:05:57,606 --> 00:05:59,560 >> Spektantaro: Ĉu ne sendi oni ricevas aŭ sendi peton? 130 00:05:59,560 --> 00:06:00,670 >> Luciano Arango: Jes. ili estas sendante get peton. 131 00:06:00,670 --> 00:06:01,350 >> Spektantaro: ĝi estas? 132 00:06:01,350 --> 00:06:02,490 >> Luciano Arango: Jes. 133 00:06:02,490 --> 00:06:04,030 Ankaŭ legiloj uzas post petoj. 134 00:06:04,030 --> 00:06:07,470 Sed mi provas montri get petoj tiel ke ni povu vidi kio estas 135 00:06:07,470 --> 00:06:10,760 reale okazas. 136 00:06:10,760 --> 00:06:12,880 Kaj do, se ni rigardas tiun kodo - Do ĝi ne funkcias plu. 137 00:06:12,880 --> 00:06:24,870 Kaj se ni rigardu tiun kodon, ĝi tuj estos en ekzemplo du. 138 00:06:24,870 --> 00:06:29,300 Kio ĉi persono estas faranta, la persono zorge de ĉi retumilo - 139 00:06:29,300 --> 00:06:35,370 malfermi, OK - 140 00:06:35,370 --> 00:06:39,290 anstataŭas la vorto libreto. 141 00:06:39,290 --> 00:06:42,850 Ĉi tio estas PHP, kiuj vi uloj multobligita vidis iom de ankoraŭ. 142 00:06:42,850 --> 00:06:46,250 >> Li simple anstataŭante la vorto skripton kun nomo. 143 00:06:46,250 --> 00:06:50,895 Do tamen, se mi iras antaŭen kaj ĝuste meti en - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 se mi ekpreni mian kodo denove, kaj mi iros modifi gxin nur iomete. 146 00:07:02,360 --> 00:07:15,010 Anstataŭ skribo, mi tuj ŝanĝos ĝin Script kun majuskla R. Kaj 147 00:07:15,010 --> 00:07:16,390 ni iras al vidi se tiun kodon funkcias. 148 00:07:16,390 --> 00:07:19,090 Do tio ne presi ĝin, kio estas bona signo. 149 00:07:19,090 --> 00:07:21,990 Kaj espereble en du pli sekundoj, ĝi tuj pop up. 150 00:07:21,990 --> 00:07:22,820 >> Via salutnomo ekster la datlimo. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Ne gravas. 153 00:07:24,460 --> 00:07:27,670 Do kontrolanta por skripto multobligita Ne nepre funkcios. 154 00:07:27,670 --> 00:07:28,130 La persono - 155 00:07:28,130 --> 00:07:32,290 Ĝi povas ankaŭ kontroli skripto majuskle, skribo minuskla, str kazo 156 00:07:32,290 --> 00:07:34,180 kompari, certigu ke ili estas la samaj. 157 00:07:34,180 --> 00:07:38,480 Sed la hacker povas ankoraŭ fari ian kio ni faris en Vigenère kiam ni translokiĝis 158 00:07:38,480 --> 00:07:40,620 reen paron karakteroj, movi antaŭen. 159 00:07:40,620 --> 00:07:43,470 Kaj tio povas diveni kiel meti skripton reen en tie do ĝi povas injekti 160 00:07:43,470 --> 00:07:44,460 tiun skripton. 161 00:07:44,460 --> 00:07:50,370 >> Do, kion vi volas uzi Estas htmlspecialchars al 162 00:07:50,370 --> 00:07:51,330 protekti vian retejon. 163 00:07:51,330 --> 00:07:56,490 Kaj kion tio faras estas tio faras certas ke tio, kion vi metis en - 164 00:07:56,490 --> 00:07:59,610 ekzemple, citaĵoj aŭ tiun pli granda ol aŭ malpli ol - 165 00:07:59,610 --> 00:08:04,701 estas anstataŭigita per io ke ne estos - 166 00:08:04,701 --> 00:08:05,951 lasu min zomi tie - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 la efektiva ampersand. 169 00:08:09,685 --> 00:08:13,420 Ĝi anstataŭigos tiujn specialajn HTML karakterojn, ke ni vidos kiam ni estas 170 00:08:13,420 --> 00:08:14,670 parolante pri - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 Ho, tiu tuj revenigas min, por - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 tiujn karakterojn ĝuste ĉi tie. 175 00:08:25,380 --> 00:08:28,180 >> Tio signifas, ke io venas. 176 00:08:28,180 --> 00:08:31,570 Por HTML, ke komencante krampo diras ni, ke io 177 00:08:31,570 --> 00:08:33,299 HTML-rilatajn venas. 178 00:08:33,299 --> 00:08:33,980 Kaj ni volas liveri de tiu. 179 00:08:33,980 --> 00:08:36,200 Ni ne volas meti la HTML enen website.k Ni ne volas, ke la uzulo estu 180 00:08:36,200 --> 00:08:40,260 kapabla meti ion en sia retejo kiu povas tuŝi lian retejon, kiel 181 00:08:40,260 --> 00:08:43,480 skripto aŭ HTML aŭ iu simila. 182 00:08:43,480 --> 00:08:53,090 Kio gravas estas, ke vi sanitize la uzulo enigon. 183 00:08:53,090 --> 00:08:54,720 >> Do la uzantoj rajtas enigo multaj aĵoj. 184 00:08:54,720 --> 00:08:58,110 Li povas enigo faskon da ŝtofo por provi trompi via retumilo en ankoraŭ 185 00:08:58,110 --> 00:08:59,410 kurante ĉi skripton kodo. 186 00:08:59,410 --> 00:09:02,870 Kion vi volas fari, estas ne nur rigardu por skripton, sed serĉi ĉiun 187 00:09:02,870 --> 00:09:04,250 kiu povus esti malica. 188 00:09:04,250 --> 00:09:06,800 Kaj htmlspecialchars faros tion por vi, tiel vi ne devas 189 00:09:06,800 --> 00:09:07,340 zorgi pri tio. 190 00:09:07,340 --> 00:09:12,280 Sed ne provu fari por vi mem ia per viaj propraj kodo. 191 00:09:12,280 --> 00:09:14,055 Ĉu ĉiuj klara je XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Ni iru al SQL injekto. 194 00:09:16,355 --> 00:09:21,010 Do SQL injekto estas probable la numero unu vundebleco 195 00:09:21,010 --> 00:09:22,490 en diversaj retejoj. 196 00:09:22,490 --> 00:09:24,350 Mi volas diri, bona ekzemplo - 197 00:09:24,350 --> 00:09:27,350 Ĵus mi esploranta malproksima pro cxi tiu afero. 198 00:09:27,350 --> 00:09:34,430 Kaj mi trovis ĉi awesome artikolon, kie Mi vidis, ke la Harvard estis rompita, 199 00:09:34,430 --> 00:09:35,390 Estis piratita. 200 00:09:35,390 --> 00:09:37,370 Kaj mi scivolis, bone, kiom ili farus tion? 201 00:09:37,370 --> 00:09:41,660 Harvard estas la plej terura, plej sekurigi universitato eterne. 202 00:09:41,660 --> 00:09:43,850 Ĝuste? 203 00:09:43,850 --> 00:09:45,410 Nu, por rompi la serviloj, la hackers uzis 204 00:09:45,410 --> 00:09:47,710 tekniko nomata SQL injekto. 205 00:09:47,710 --> 00:09:50,250 >> Do tio okazas en unu tago al tago bazo. 206 00:09:50,250 --> 00:09:53,590 Homoj forgesos preni konton por SQL injekto. 207 00:09:53,590 --> 00:09:54,930 Harvard faras. 208 00:09:54,930 --> 00:10:00,050 Mi pensas ĝi diras ĉi tie, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Do kiel ni faras - do kion estas ĉi SQL injekto kiuj kondukas ĉiuj tiuj 210 00:10:03,550 --> 00:10:05,668 popolo malsupreniras? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Do SQL estas programlingvo, kiu ni uzas por aliri datumbazoj. 213 00:10:12,090 --> 00:10:14,560 Kion ni faras estas ni elektu - 214 00:10:14,560 --> 00:10:18,510 do kion ĉi legas ĝuste nun estas unuaranga ĉion de la tablo. 215 00:10:18,510 --> 00:10:22,640 >> SQL, ĝi ŝanĝas en tiujn datumbazoj kiuj havas tabloj plenaj de informoj. 216 00:10:22,640 --> 00:10:26,550 Do elektu ĉion de uzantoj kie la nomo estas uzantnomon. 217 00:10:26,550 --> 00:10:28,120 Ĝuste? 218 00:10:28,120 --> 00:10:30,770 Simplaj sufiĉas. 219 00:10:30,770 --> 00:10:34,490 La ideo de SQL injekto estas ke ni enŝovu iun malican kodo kiu volas 220 00:10:34,490 --> 00:10:37,270 trompi la servilo en kurante ion malsama ol kio 221 00:10:37,270 --> 00:10:38,430 origine ĝi kuras. 222 00:10:38,430 --> 00:10:44,970 Do diru al uzantonomo, ni metas en aŭ 1 estas 1. 223 00:10:44,970 --> 00:10:46,700 Do ni metas en aŭ 1 estas 1. 224 00:10:46,700 --> 00:10:49,890 La maniero ĝi legos nun estos unuaranga de la uzantoj, ĉiu el 225 00:10:49,890 --> 00:10:51,360 uzantoj - tio ĉi estas ĉio - 226 00:10:51,360 --> 00:10:55,880 kie nomo estas salutnomo, sed uzantonomo estas aŭ 1 estas 1. 227 00:10:55,880 --> 00:11:01,760 >> Do nomo estas nenio aŭ 1 estas 1. 228 00:11:01,760 --> 00:11:04,060 1 egalas 1 estas ĉiam vera. 229 00:11:04,060 --> 00:11:07,690 Do tiu ĉiam revenas informoj de la uzantoj. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Ni ne bezonas havi la korekta uzantnomon. 232 00:11:10,030 --> 00:11:14,240 Ni povas nur havi ion, ke ni volas, kaj gxi reiros informoj 233 00:11:14,240 --> 00:11:15,690 ke ni bezonas. 234 00:11:15,690 --> 00:11:17,160 Ni rigardu alian ekzemplon. 235 00:11:17,160 --> 00:11:22,720 >> Se ni elektas ĉion de uzanto, kie nomo estas DROP TABLE uzantoj - 236 00:11:22,720 --> 00:11:26,420 do kion vi opinias ĉi volo faru se mi metas en la uzantnomon 237 00:11:26,420 --> 00:11:29,560 kiel DROP TABLE uzantoj? 238 00:11:29,560 --> 00:11:30,230 Iu ajn havas ideon? 239 00:11:30,230 --> 00:11:31,050 Jes. 240 00:11:31,050 --> 00:11:32,470 >> Spektantaro: Ĝi tuj diros ĝin renversi ĉiuj tabloj. 241 00:11:32,470 --> 00:11:35,460 >> Luciano Arango: Ĝi tuj informi nin por renversi ĉion en la paĝaro, 242 00:11:35,460 --> 00:11:38,290 ĉio en la datumbazo. 243 00:11:38,290 --> 00:11:41,910 Kaj kion homoj uzas tion por - tia Mi montros al vi knaboj. 244 00:11:41,910 --> 00:11:45,462 Mi malaktivigita delasante la tabloj ĉar mi ne volis vin 245 00:11:45,462 --> 00:11:48,240 knaboj faligi miajn tabelojn. 246 00:11:48,240 --> 00:11:49,850 Ni rigardu ĉi. 247 00:11:49,850 --> 00:11:54,410 Do tiu simple iras ĝis la informoj por certa persono. 248 00:11:54,410 --> 00:11:57,550 Do kiel ni scias, ĉu tio estas afekciita per SQL injekto. 249 00:11:57,550 --> 00:12:01,545 Ni tuj kontroli realajn rapida se ni povas meti ion - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 lasu min kopii tiun kodon. 252 00:12:06,080 --> 00:12:08,140 Mi tuj iros super gxi en sekundo. 253 00:12:08,140 --> 00:12:12,210 Mi tuj metos radikon kaj 1 estas 1. 254 00:12:12,210 --> 00:12:15,510 >> Tiu rajto tie ĉi procento signo 23 - 255 00:12:15,510 --> 00:12:19,970 kio ĝi vere estas, se mi aspektas ĝuste ĉi tie ĉe - 256 00:12:19,970 --> 00:12:23,820 la vojo HTML prenas en nombroj, se vi rigardu, kiam Mi metos en spaco 257 00:12:23,820 --> 00:12:28,380 tie - se mi spaco ion ĉi tie, ĝi ŝanĝas ĝin al procentoj 2. 258 00:12:28,380 --> 00:12:31,420 Ĉu vi knaboj vidas tiun ĉi tie kiam mi metis en spaco? 259 00:12:31,420 --> 00:12:36,710 La funkcimaniero estas ke vi povas nur sendu Askio valoroj tra HTML. 260 00:12:36,710 --> 00:12:40,330 Do ĝi anstataŭas, ekzemple, spaco kun procento 20. 261 00:12:40,330 --> 00:12:41,970 Mi ne scias se vi infanoj vidis, ke antaŭe. 262 00:12:41,970 --> 00:12:45,100 >> Ĝi anstataŭas etiketon kun procento 23. 263 00:12:45,100 --> 00:12:50,840 Ni bezonas etiketon ĉe la fino de aŭ deklaro tiel ke ni povas diri la 264 00:12:50,840 --> 00:13:00,885 datumbaza forgesi komenti ekstere ĉi lastaj punktokomo ĉe la fino. 265 00:13:00,885 --> 00:13:03,060 Ni volas, ke ĝi ne pensi pri tio. 266 00:13:03,060 --> 00:13:05,980 Ni nur volas kuri ĉio ke ni devas anticipe kaj 267 00:13:05,980 --> 00:13:07,450 diri, ke el. 268 00:13:07,450 --> 00:13:08,710 Ni rigardu ĝin. 269 00:13:08,710 --> 00:13:14,670 >> Do se mi estus meti iun malbone - diru ekzemple, mi metis 2 egaluloj 270 00:13:14,670 --> 00:13:15,690 1, ĝi ne donas al mi nenion. 271 00:13:15,690 --> 00:13:22,930 Kiam mi metis en 1 egalas 1, kaj tio faras revenu ion, ĉi diras al mi ke 272 00:13:22,930 --> 00:13:24,660 tio estas vundebla an SQL injekto. 273 00:13:24,660 --> 00:13:29,090 Mi nun scias, ke kion ajn Mi metos poste ĉi - 274 00:13:29,090 --> 00:13:39,110 kaj ekzemple, DROP TABLES aŭ io simila 275 00:13:39,110 --> 00:13:41,190 definitive labori. 276 00:13:41,190 --> 00:13:44,350 Mi scias ke estas vundebla al SQL injekto ĉar mi scias, ke 277 00:13:44,350 --> 00:13:49,850 sub la kapuĉo, ĝi estas lasanta mi faros la 1 egalas 1 afero. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> Kaj se ni rigardas tiujn aliajn ones, numero du kaj numero tri, ĝi estas 281 00:13:56,540 --> 00:13:59,110 tuj fari iomete pli de kontrolanta sub la 282 00:13:59,110 --> 00:14:03,680 kapuĉo el kio ĝi estas. 283 00:14:03,680 --> 00:14:07,425 Do cxiu ebligi la guto io tamen aŭ provis? 284 00:14:07,425 --> 00:14:08,760 Ĉu vi guys ia get SQL ankoraŭ? 285 00:14:08,760 --> 00:14:10,430 Ĉar mi scias, vi uloj kiuj ne havas vidis ankoraŭ, do ĝi estas speco de 286 00:14:10,430 --> 00:14:11,759 konfuzante por vi guys. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Ni rigardu. 289 00:14:18,480 --> 00:14:21,270 Do kio estas la vojo por preventi SQLI? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Do tiu estas vere grava, ĉar vi knaboj definitive volas malhelpi 292 00:14:23,330 --> 00:14:24,090 tio en viaj retejoj. 293 00:14:24,090 --> 00:14:28,040 >> Se ne, cxiuj viaj amikoj tuj moki vin kiam ili falas ĉiu 294 00:14:28,040 --> 00:14:29,390 via tabeloj. 295 00:14:29,390 --> 00:14:36,150 Do la ideo estas ke vi rebonigi la SQL en certa maniero, dum kiu vi kongruas 296 00:14:36,150 --> 00:14:41,940 kion la uzanto enigas per certan ĉenon. 297 00:14:41,940 --> 00:14:46,120 Do la maniero ĉi verkoj estas vi pretigi la datumbazon. 298 00:14:46,120 --> 00:14:50,830 Vi elektu nomon, koloro, kaj kalorioj de datumbazo nomata frukto. 299 00:14:50,830 --> 00:14:53,580 Kaj tiam kie kalorioj estas malpli ol, kaj ni metos demandosignon tie 300 00:14:53,580 --> 00:14:56,530 dirante ni tuj enigo io en unu sekundo. 301 00:14:56,530 --> 00:14:58,850 >> Kaj koloro egaluloj, kaj ni metu demandon markon dirante ni tuj 302 00:14:58,850 --> 00:15:00,913 enigo io en dua tiel. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 Kaj tiam ni faros ĝin, metante en 150 kaj ruĝa. 305 00:15:09,920 --> 00:15:12,820 Kaj tion kontrolos fari certas, ke tiuj du - 306 00:15:12,820 --> 00:15:15,300 tiu tabelo estos kontroli, ke tiuj du estas entjero kaj 307 00:15:15,300 --> 00:15:16,550 ke tio estas ĉeno. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Tiam ni iru, kaj ni elirigu ĉiuj, ni metis ĝin en ruĝa. 310 00:15:20,890 --> 00:15:21,964 Tio signifas ke ni elirigu por cxiuj. 311 00:15:21,964 --> 00:15:26,790 Ĝi signifas, ke ni reale ekzekuti la SQL deklaron kaj remetis ĝin en ruĝa. 312 00:15:26,790 --> 00:15:30,530 Tie ĉi ni faros la saman, sed ni fari la saman por flava. 313 00:15:30,530 --> 00:15:32,490 Kaj ni elirigu por cxiuj. 314 00:15:32,490 --> 00:15:36,140 >> Kaj en ĉi tiu maniero, ni malhelpi la uzanto de povi enigi ion 315 00:15:36,140 --> 00:15:41,710 kiu ne estas, kion ni specifita, ŝnuro aŭ entjero, ekzemple. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Mi parolis antaŭe pri dependi aliaj. 318 00:15:46,610 --> 00:15:50,010 Kiam vi uloj komenci vian projekton, vi estas plej definitive tuj uzi 319 00:15:50,010 --> 00:15:52,310 startigi aŭ io simila. 320 00:15:52,310 --> 00:15:53,490 Ĉu vi uloj iam uzis Wordpress? 321 00:15:53,490 --> 00:15:57,170 Probable vi uloj uzintaj Wordpress plej verŝajna. 322 00:15:57,170 --> 00:16:00,050 Do la problemo pri uzi fremdajn aferojn - 323 00:16:00,050 --> 00:16:05,940 Mi simple iras al Google reala rapida Wordpress vundebleco. 324 00:16:05,940 --> 00:16:07,495 >> Se mi tiri ĉi supren ĝuste nun - 325 00:16:07,495 --> 00:16:08,995 Mi laŭvorte faris du dua Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Ni povas vidi ke Wordpress - 328 00:16:13,800 --> 00:16:17,450 tio estas datita kiel Septembro '12. 329 00:16:17,450 --> 00:16:19,120 26 estas ĝisdatigita. 330 00:16:19,120 --> 00:16:23,620 La defaŭlta agordo de Wordpress antaŭ 3,6 ne malhelpi tiujn 331 00:16:23,620 --> 00:16:27,110 certaj alŝutoj, kiu potenco plifaciligi 332 00:16:27,110 --> 00:16:29,790 kruco-ejo skripta atakoj. 333 00:16:29,790 --> 00:16:34,530 Do rapida rakonto, iam ni laboris kun - do mi trovis, en somero, laborante kun 334 00:16:34,530 --> 00:16:34,970 internulejo. 335 00:16:34,970 --> 00:16:40,400 Kaj ni laboris kun ia kiel granda kreditkarto kompanio. 336 00:16:40,400 --> 00:16:42,020 >> Kaj ili fidi iun nomita - 337 00:16:42,020 --> 00:16:45,740 Mi ne scias se vi uloj iam ludis kun produkto nomita Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla estas produkto kiu estas uzata por kontrolo - speco de simila al 339 00:16:51,750 --> 00:16:54,340 Wordpress, uzata por konstrui retejojn. 340 00:16:54,340 --> 00:16:56,060 Do ili devis ilia retejo laborante en Joomla. 341 00:16:56,060 --> 00:16:59,290 Tiu estas fakte kreditkarton kompanio en Kolombio. 342 00:16:59,290 --> 00:17:01,000 Mi prenos vin al sia retejo reala rapida. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Do ili uzis Joomla. 345 00:17:05,400 --> 00:17:08,630 Kaj ili ne estis ĝisdatigita Joomla al la plej nova aldono. 346 00:17:08,630 --> 00:17:12,160 Kaj do, kiam ni prenis rigardu sian kodon, ni povis reale 347 00:17:12,160 --> 00:17:18,430 iru en siaj kodo kaj sxtelus ĉiuj kreditkarto informo kiun ili havis, 348 00:17:18,430 --> 00:17:21,670 ĉiuj kreditkarto nombroj, la nomoj, la adresoj. 349 00:17:21,670 --> 00:17:22,740 Kaj tio estis ĝuste - 350 00:17:22,740 --> 00:17:23,569 kaj ilia kodo estis perfekte bone. 351 00:17:23,569 --> 00:17:24,710 Ili havis grandajn kodo. 352 00:17:24,710 --> 00:17:25,389 Ĉio estis sekureco. 353 00:17:25,389 --> 00:17:26,520 Ili kontrolis ĉiuj datumbazoj. 354 00:17:26,520 --> 00:17:29,020 Ili certigis kruco-ejo skripta fartis bone. 355 00:17:29,020 --> 00:17:34,390 >> Sed ili uzas iun kiu ne estis ĝisdatigita, ke ne estis sekura. 356 00:17:34,390 --> 00:17:36,940 Kaj do, kiu kondukis ilin - do you guys estas definitive tuj uzi aliajn 357 00:17:36,940 --> 00:17:40,650 popola kodo, fremda kadrojn por konstrui retpagxon. 358 00:17:40,650 --> 00:17:43,860 Certiĝu ke ili estas sekuraj cxar foje ĝi ne estas vi, kiu 359 00:17:43,860 --> 00:17:44,480 eraras. 360 00:17:44,480 --> 00:17:47,440 Sed iu alia eraras, kaj tiam vi falos pro tio. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Pasvortoj kaj pii. 363 00:17:53,885 --> 00:17:56,820 Do pasvortojn. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Ni rigardu pasvortoj reala rapida. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Bonvolu diri al mi, ke ĉiuj Uzas sekura - 369 00:18:06,520 --> 00:18:09,030 Mi esperas ke ĉiuj ĉi tie Uzas sekura pasvortojn. 370 00:18:09,030 --> 00:18:12,890 Mi simple lasi ke en tiom supozo. 371 00:18:12,890 --> 00:18:14,850 Do vi uloj estas definitive tuj stoki pasvortojn por via TTT-ejojn. 372 00:18:14,850 --> 00:18:17,440 Vi iras fari ion kiel havas salutnomon aŭ io kiel tio. 373 00:18:17,440 --> 00:18:19,610 Kio gravas estas ne stoki pasvortojn en plata teksto. 374 00:18:19,610 --> 00:18:20,860 Ĉi tio estas ege grava. 375 00:18:20,860 --> 00:18:23,960 Vi ne volas butika pasvorto en plata teksto. 376 00:18:23,960 --> 00:18:27,370 >> Kaj vi certe ne vere volas stoki ĝin en unu maniero hash. 377 00:18:27,370 --> 00:18:32,440 Do kio estas unu maniero hash estas ke kiam vi generi vorto, kiam vi metis ĉi 378 00:18:32,440 --> 00:18:36,200 vorto en krada funkcio, gxi generi reen ia kamufla 379 00:18:36,200 --> 00:18:39,390 mesaĝo aŭ kamufla aro de ŝlosiloj. 380 00:18:39,390 --> 00:18:40,640 Mi montros al vi ekzemplon. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Mi iras al hash ili vorto password1. 383 00:18:50,250 --> 00:18:55,280 Do md5 hash tuj revenos al mi ia stranga informo. 384 00:18:55,280 --> 00:18:59,140 >> La problemo estas ke homoj tie ekstere kiuj ŝatus iri en retejoj havas 385 00:18:59,140 --> 00:19:02,750 jam eltrovis speco de ĉiuj md5 hashes. 386 00:19:02,750 --> 00:19:06,030 Kion ili estas ili eksidis sur siaj komputiloj, kaj ili hashed ĉiu 387 00:19:06,030 --> 00:19:09,660 solan eblan vorton el tie, gxis ili havas specon de kio tio estas. 388 00:19:09,660 --> 00:19:11,420 Se mi estus rigardi ĉi supren - 389 00:19:11,420 --> 00:19:12,420 Mi ĵus kaptis ĉi hash. 390 00:19:12,420 --> 00:19:14,120 Se mi ricevas tiun hash de - 391 00:19:14,120 --> 00:19:17,470 se mi iros en retejo, kaj mi trovas ĉi hash ĉar mi alvenas al la 392 00:19:17,470 --> 00:19:24,100 datumbazoj, kaj mi rigardas ĝin, iu Jam figured it out por mi. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Jes. 395 00:19:29,100 --> 00:19:35,030 Do popolo sidigxis, kaj kio ajn md5 hash ke vi metu en, ili tuj 396 00:19:35,030 --> 00:19:37,760 revenu al vi ion ke estas vorto. 397 00:19:37,760 --> 00:19:39,800 Se mi hash alia vorto, kiel - 398 00:19:39,800 --> 00:19:42,410 Mi ne scias - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Mi ne volas esti seniluziigita per mia Google searches. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Tie ĝi estas, trees2. 403 00:19:52,780 --> 00:19:55,930 Do multe da retejoj ankoraŭ uzi md5 hash. 404 00:19:55,930 --> 00:19:57,730 Ili diros, ho, ĝi estas sekura. 405 00:19:57,730 --> 00:19:58,570 Ni ne stokante en plata teksto. 406 00:19:58,570 --> 00:19:59,740 Ni havas ĉi md5 hash. 407 00:19:59,740 --> 00:20:01,880 Kaj kion mi devas fari estas simple Google la nombro. 408 00:20:01,880 --> 00:20:03,940 >> Mi eĉ ne devos komputi mem. 409 00:20:03,940 --> 00:20:06,790 Mi povas nur Guglas ĝin, kaj iu jam faris gxin por mi. 410 00:20:06,790 --> 00:20:08,010 Jen faskon da ili. 411 00:20:08,010 --> 00:20:09,260 Jen aro da pasvortoj. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Do certe ne uzu md5 hash, ĉar ĉiuj devas 414 00:20:18,680 --> 00:20:19,140 do estas Google ĝin. 415 00:20:19,140 --> 00:20:20,390 Do kion vi volas uzi anstataŭ? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Io nomata Saladero. 419 00:20:31,260 --> 00:20:32,460 Do kio Saladero estas - 420 00:20:32,460 --> 00:20:36,280 ĉu vi uloj memoras kiam ni estis parolas pri hazardo en - 421 00:20:36,280 --> 00:20:37,920 Mi ne certas kion pset estis - 422 00:20:37,920 --> 00:20:41,140 gxi estis pset tie aŭ kvar? 423 00:20:41,140 --> 00:20:45,150 >> Ni parolis pri trovi la kudrilo en la fojnamaso. 424 00:20:45,150 --> 00:20:48,480 Kaj en la pset, ŝi diris, ke vi povus efektive eltrovi kia hazardo 425 00:20:48,480 --> 00:20:51,840 generas pro ies jam kuris hazarda miliono tempoj kaj nur 426 00:20:51,840 --> 00:20:53,230 speco de formis kio generas. 427 00:20:53,230 --> 00:20:55,840 Kion vi volas fari estas meti en enigo. 428 00:20:55,840 --> 00:20:57,130 Do, tio estas kion Saladero speco de estas. 429 00:20:57,130 --> 00:21:00,900 Ili jam eltrovis kion Saladero revenas por ĉiu laboro. 430 00:21:00,900 --> 00:21:04,750 >> Do kio Saladero faras estas vi metis en la salo. 431 00:21:04,750 --> 00:21:06,160 Vi metis en certa vorto. 432 00:21:06,160 --> 00:21:09,720 Kaj gxi donos hash tiu vorto depende sur kio vi metu en ĉi tie. 433 00:21:09,720 --> 00:21:13,570 Do se mi hash pasvorton unu kun tiu frazo, ĝi tuj hash 434 00:21:13,570 --> 00:21:17,180 malsame se mi hash password1 kun malsama frazo. 435 00:21:17,180 --> 00:21:21,670 Ĝi ia donas gxin ie al komenci la kradanta komenci. 436 00:21:21,670 --> 00:21:25,970 Do ĝi estas multe pli malfacila al komputi, sed vi povas ankoraŭ kalkuli ĝin, speciale 437 00:21:25,970 --> 00:21:26,830 se vi uzas malbonan salo. 438 00:21:26,830 --> 00:21:29,650 >> Homoj jam ankaŭ eltrovis komuna saloj kaj eltrovis 439 00:21:29,650 --> 00:21:31,500 kion tio ĝi estas. 440 00:21:31,500 --> 00:21:34,980 Hazarda saloj estas multe pli bone, sed la plej bona metodo estas uzi 441 00:21:34,980 --> 00:21:38,160 iu nomita kripto. 442 00:21:38,160 --> 00:21:40,480 Kaj kion kripto permesas vin cxu - tiom tiuj funkcioj estas 443 00:21:40,480 --> 00:21:41,820 jam konstruis por vi. 444 00:21:41,820 --> 00:21:44,910 Multaj homoj forgesas ke, aŭ Ili forgesas uzi ĝin. 445 00:21:44,910 --> 00:21:54,520 Sed se mi rigardas supren kripto PHP, kripto jam redonas hash kordo por mi. 446 00:21:54,520 --> 00:21:58,790 Kaj ĝi efektive saloj gxin multajn fojojn kaj hashes gxin multfoje. 447 00:21:58,790 --> 00:22:00,070 >> Do ni ne devas fari tion. 448 00:22:00,070 --> 00:22:04,790 Do ĉiuj devas fari estas sendu ĝin en kripto. 449 00:22:04,790 --> 00:22:08,170 Kaj tio kreos grandan hash sen vi devi zorgi pri salo 450 00:22:08,170 --> 00:22:08,990 aŭ nenion. 451 00:22:08,990 --> 00:22:12,000 Ĉar se vi estus al salo, vi havas memori kion salo vi uzis 452 00:22:12,000 --> 00:22:13,800 ĉar se ne, vi ne povas alveni vian pasvorto reen sen la 453 00:22:13,800 --> 00:22:15,760 salo, kiun vi uzas. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> Kaj ankaŭ personaj identigebla informoj. 457 00:22:23,150 --> 00:22:26,730 Do socia sekureco, kreditkarto - ke estas sufiĉe evidenta. 458 00:22:26,730 --> 00:22:31,880 Sed kelkfoje homoj forgesas la vojo verkoj estas, kiom da informoj vi 459 00:22:31,880 --> 00:22:35,690 vere bezonas trovi iun personon? 460 00:22:35,690 --> 00:22:37,740 Iu faris studon pri tiu vojo reen. 461 00:22:37,740 --> 00:22:40,870 Gxi estis kiel, se vi havas plena nomo, vi ne povas trovi 462 00:22:40,870 --> 00:22:41,610 iu kiu facile. 463 00:22:41,610 --> 00:22:43,900 Sed kion se vi havas plenan nomon kaj ilia dato de naskiĝo? 464 00:22:43,900 --> 00:22:47,770 Ĉu tio sufiĉas por identigi iu specife? 465 00:22:47,770 --> 00:22:52,760 >> Kio, se vi havas lian nomon, kaj la strato adreso, kiun ili vivas sur la? 466 00:22:52,760 --> 00:22:55,110 Ĉu tio sufiĉas por trovi iun? 467 00:22:55,110 --> 00:23:02,490 Kaj tio estas kiam ili demandas, kio estas personaj identigebla informo, kaj 468 00:23:02,490 --> 00:23:05,360 kion vi devus maltrankviligi Ne donaci? 469 00:23:05,360 --> 00:23:08,770 Se vi donaci persona identigebla informon, ke iu donas al vi, 470 00:23:08,770 --> 00:23:11,420 vi povus potenciale get demandado. 471 00:23:11,420 --> 00:23:12,610 Kaj ni definitive ne deziras tion. 472 00:23:12,610 --> 00:23:14,955 >> Do kiam vi metante vian retejon ekstere, kaj vi vere malvarmeta 473 00:23:14,955 --> 00:23:17,230 dezajno, espereble vi faris imponega fina projekto. 474 00:23:17,230 --> 00:23:18,370 Ajna vi ian volas metu ŝin tie. 475 00:23:18,370 --> 00:23:21,420 Vi volas certigi, ke kio ajn vi prenas el la uzanton, se estas 476 00:23:21,420 --> 00:23:25,310 personaj identigebla informojn, vi volas certigi ke vi estas vere 477 00:23:25,310 --> 00:23:26,560 zorgu pri ĝi. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Konko injekto. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Konko injekto permesas la entrudulo al akiri aliron al via reala komandlinia 482 00:23:37,590 --> 00:23:39,660 en via servilo. 483 00:23:39,660 --> 00:23:44,060 Kaj tial ĝi estas kapabla kuri kodo ke vi ne povas kontroli. 484 00:23:44,060 --> 00:23:49,560 Ni prenu ekzemplon de ĉi tio bela kordo ĝuste ĉi tie. 485 00:23:49,560 --> 00:23:55,570 Se ni iras en la retejo denove, mi estas tuj iru en kodo injekto. 486 00:23:55,570 --> 00:23:58,910 Do kio estas tiu faras, estas - 487 00:23:58,910 --> 00:24:00,420 ĝi estas ankaŭ, kion ni estis rigardas antaŭe. 488 00:24:00,420 --> 00:24:11,200 Ni lasi la uzanton metis en kio ajn Li volas, kaj gxi estos presi 489 00:24:11,200 --> 00:24:12,220 kion ajn vi volas. 490 00:24:12,220 --> 00:24:13,890 >> Do mi tuj metis alvokon. 491 00:24:13,890 --> 00:24:15,540 Kion tio faras estas - 492 00:24:15,540 --> 00:24:16,940 Ĝi komencos per concatenando. 493 00:24:16,940 --> 00:24:19,520 Do estos mi kuros ajn ordonu al la persono kurado 494 00:24:19,520 --> 00:24:21,500 antaŭe kaj mia komando. 495 00:24:21,500 --> 00:24:23,980 Kaj mi kurante sistemon komando. 496 00:24:23,980 --> 00:24:27,310 Kaj ĉi tiuj lastaj kordoj estas - memori kion mi parolis al vi uloj pri, 497 00:24:27,310 --> 00:24:31,725 dum vi devas kodi ĝin en URL metodo. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Se mi kuros ĉi nun - 500 00:24:36,992 --> 00:24:39,150 Mi montros al vi trans cxi tie - 501 00:24:39,150 --> 00:24:41,100 vi vidos, ke mi finiĝis supren ruli ordonon. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Tiu estas fakte la efektiva servilo ke mia retejo kuras plu. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Do ni ne volas, ke, ĉar mi povas kuri - 506 00:24:58,510 --> 00:25:00,320 tiu servilo ne estas mia. 507 00:25:00,320 --> 00:25:04,030 Do mi ne volas salato siajn fratino, Marcus La servilo. 508 00:25:04,030 --> 00:25:07,470 Sed vi povas kuri pli komandoj ke estas danĝera. 509 00:25:07,470 --> 00:25:11,885 Kaj potenciale, vi povus forviŝi dosieroj, forigi dosierujoj. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Mi povas forigi certan dosierujon se Mi volis, sed mi ne volas 512 00:25:17,970 --> 00:25:19,530 por fari tion al Marcus. 513 00:25:19,530 --> 00:25:20,420 Li estas afablulo. 514 00:25:20,420 --> 00:25:21,470 Li lasis min pruntepreni sian servanton. 515 00:25:21,470 --> 00:25:24,620 Do mi iros al li ekstere sur la bona. 516 00:25:24,620 --> 00:25:32,280 >> Do kion ni ne volas uzi - ni ne volas uzi eval aŭ sistemo. 517 00:25:32,280 --> 00:25:34,755 Eval aŭ sistemo permesas nin fari tiujn sistemo alvokoj. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval rimedoj taksi. 520 00:25:38,410 --> 00:25:40,790 Sistemo signifas kion mi kuris. 521 00:25:40,790 --> 00:25:42,490 Ĝi kuras ion en la sistemo. 522 00:25:42,490 --> 00:25:46,730 Sed ni povas malpermesi tion en PHP por ke ni ne uzas ilin. 523 00:25:46,730 --> 00:25:47,400 Kaj dosieron upload. 524 00:25:47,400 --> 00:25:49,180 Mi tuj faros imponega aferon kun la arkivo upload. 525 00:25:49,180 --> 00:25:52,740 Sed kiel mi diris al vi, infanoj, mia dosiero upload afero ne funkcias. 526 00:25:52,740 --> 00:25:54,590 Se mi estus por alŝuti dosieron ĝuste nun - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 se mi estus por alŝuti dosieron, kaj estas bildo - 529 00:26:00,830 --> 00:26:03,180 vi havas upload afero tio estas foto. 530 00:26:03,180 --> 00:26:03,660 Tio estas bone. 531 00:26:03,660 --> 00:26:04,280 Nenio okazas. 532 00:26:04,280 --> 00:26:10,840 >> Sed se vi havas alŝuta dosiero, por Ekzemple, kaj la uzanto reale alŝutoj 533 00:26:10,840 --> 00:26:19,220 oni PHP-dosiero aŭ exe dosiero aŭ iu tiel, tiam vi povus potenciale 534 00:26:19,220 --> 00:26:19,740 havas problemon. 535 00:26:19,740 --> 00:26:21,390 Ĉi laboris antaŭe. 536 00:26:21,390 --> 00:26:25,202 Bedaŭrinde por mi, ĝi estas ne funkcias plu. 537 00:26:25,202 --> 00:26:30,230 Se mi, ekzemple, alŝuti tiun dosieron, mi estas ne ricevas permeson por alŝuti 538 00:26:30,230 --> 00:26:33,400 la dosiero pro la servilo Ne estante mia. 539 00:26:33,400 --> 00:26:38,670 Do la ulo estas vere inteligenta. 540 00:26:38,670 --> 00:26:39,610 >> Do ni ne volas - 541 00:26:39,610 --> 00:26:40,130 Mi montros al vi uloj - 542 00:26:40,130 --> 00:26:41,840 OK, jen estas kelkaj vere malvarmeta iloj. 543 00:26:41,840 --> 00:26:45,100 Do tiuj - 544 00:26:45,100 --> 00:26:47,715 iru en - se vi uloj havas Firefox - espereble vi faru. 545 00:26:47,715 --> 00:26:54,260 Ekzistas du add-ons nomata SQL injekti Me and Cross-Site Script Min. 546 00:26:54,260 --> 00:26:56,870 Ili malfermas kiel iom flanko trinkejojn sur la flanko. 547 00:26:56,870 --> 00:27:01,480 Kaj se mi iros al CS60 ekzemple - 548 00:27:01,480 --> 00:27:04,210 do kion faras estas ĝi aspektas por cxiuj formoj ke - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 mi esperas, mi ne ricevos en problemoj pro tio. 551 00:27:08,760 --> 00:27:09,190 >> Sed okej. 552 00:27:09,190 --> 00:27:12,600 Jen la pinglo sistemo. 553 00:27:12,600 --> 00:27:18,946 Do kiam mi komencos serĉi truojn en la sistemo, la unua afero, kiun mi faras estas 554 00:27:18,946 --> 00:27:21,820 malfermu tiun belegan iom ilo je la flanko. 555 00:27:21,820 --> 00:27:24,160 Kaj mi iros por testi formoj per auto atakoj. 556 00:27:24,160 --> 00:27:28,510 Kaj do, kion tiu faras, estas gxi malrapide malfermi faskon de retumiloj. 557 00:27:28,510 --> 00:27:29,930 Jen faskon de retumiloj. 558 00:27:29,930 --> 00:27:33,320 Kaj gxi provas ĉiun solan kombinaĵo el kruco-ejo skripta 559 00:27:33,320 --> 00:27:37,380 ke eble estas, se vi vidas sur la flanko. 560 00:27:37,380 --> 00:27:42,080 >> Kaj gxi donos al mi rezulton speco de tio, kion la respondo estas. 561 00:27:42,080 --> 00:27:42,860 Ĉio pasas. 562 00:27:42,860 --> 00:27:43,910 Evidente, ili cxiuj farigxis. 563 00:27:43,910 --> 00:27:46,190 Mi volas diri, ke ili estas vere inteligentaj homoj tie supre. 564 00:27:46,190 --> 00:27:48,010 Sed se mi estus kuri - 565 00:27:48,010 --> 00:27:52,050 Mi havis fojoj antaŭ kiam mi kuros ĉi sur studentoj 'fina projektoj. 566 00:27:52,050 --> 00:27:56,080 Mi simple kuri SQL injekti Min per ĉiuj malsamaj atakoj. 567 00:27:56,080 --> 00:28:00,080 Kaj ĝi estas provi SQL injekti ĉi pinglo servilo. 568 00:28:00,080 --> 00:28:03,590 Do, se ni rulumu malsupren por Ekzemple, ĝi diras - 569 00:28:03,590 --> 00:28:04,960 tiu estas bona, se ĝi revenas. 570 00:28:04,960 --> 00:28:08,250 >> Do ĝi provis iuj certaj valoroj. 571 00:28:08,250 --> 00:28:11,170 Kaj la servilo revenis kodo kiu estis negativa. 572 00:28:11,170 --> 00:28:11,780 Forigi provizore. 573 00:28:11,780 --> 00:28:13,030 Tio estas bona. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Ĝi provas cxiujn tiujn provojn. 576 00:28:20,750 --> 00:28:21,790 Do vi simple povus funkcii - 577 00:28:21,790 --> 00:28:27,860 Mi deziras, ke mi povis trovi retejon reala rapida kiu lasus min - 578 00:28:27,860 --> 00:28:29,110 eble la CS50 vendejo. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Wow, tiu tuj prenu vojon tro longe. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Mi lasu la unua provo ne finas dekstre. 583 00:28:55,130 --> 00:28:57,330 Do ĝi estas plendis. 584 00:28:57,330 --> 00:28:58,470 Do tiuj estas tri aĵoj. 585 00:28:58,470 --> 00:29:00,430 Ĉi tiuj iloj estas liberaj. 586 00:29:00,430 --> 00:29:03,960 Vi povas elŝuti ilin kaj ruli ilin sur via TTT-ejo, kaj gxi diros al vi, se 587 00:29:03,960 --> 00:29:06,650 vi havas kruco-ejo skripta, se vi havas SQL, se vi havas 588 00:29:06,650 --> 00:29:07,900 io simile. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Mi ia rompado. 591 00:29:14,500 --> 00:29:15,550 >> Kio gravas - 592 00:29:15,550 --> 00:29:17,900 OK, do neniam fidu la uzanto. 593 00:29:17,900 --> 00:29:21,920 Kio ajn estas la uzanto enigas al vi, faru certe vi sanitize ĝin, vi purigi ĝin, 594 00:29:21,920 --> 00:29:25,300 vi kontroli la veron, ke ĝi estas doni al vi, kion vi 595 00:29:25,300 --> 00:29:28,240 volas ke li donu al vi. 596 00:29:28,240 --> 00:29:32,460 Ĉiam estos ĝisdatigita je kio kadrojn ke vi efektive uzas. 597 00:29:32,460 --> 00:29:34,630 Se vi uzas iun kiel bootstrap - 598 00:29:34,630 --> 00:29:36,340 Mi konas vin knaboj tuj uzi startigi ĉar li tuj iri 599 00:29:36,340 --> 00:29:38,140 super ĉi poste en klaso - 600 00:29:38,140 --> 00:29:43,120 kaj Wordpress aŭ io kiel tio, normale tio povus esti piratita. 601 00:29:43,120 --> 00:29:44,770 >> Kaj tiam vi eĉ ne scias. 602 00:29:44,770 --> 00:29:45,800 Vi simple kurante via retejo. 603 00:29:45,800 --> 00:29:47,360 Kaj ĝi estas tute sekura. 604 00:29:47,360 --> 00:29:51,730 Kaj vi iros malsupren. 605 00:29:51,730 --> 00:29:54,000 Do mi fisxkapti vere frue. 606 00:29:54,000 --> 00:29:55,770 Sed mi volas danki Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Mi montros al vi uloj ion vokis Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Se vi uloj estas vere interesita en kio sekureco vere estas, tie estas 609 00:30:05,000 --> 00:30:07,300 retejo nomata Pentest Labs, se you guys iri al ĝi ĝuste nun. 610 00:30:07,300 --> 00:30:10,730 Ho, bone, tio ne estas tio. 611 00:30:10,730 --> 00:30:12,030 Mi simple tuj kuri ĝin kiel ĉi tio. 612 00:30:12,030 --> 00:30:14,400 Google diras al mi la respondon. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 Kaj instruas uzas vin - tial ĝi diras, lerni ttt penetrado 615 00:30:19,030 --> 00:30:21,060 provante la gxusta vojo. 616 00:30:21,060 --> 00:30:23,650 Ĝi instruas al vi - 617 00:30:23,650 --> 00:30:25,150 espereble, vi estas etika persono. 618 00:30:25,150 --> 00:30:29,200 Sed ĝi instruas al vi, kiel vi povas rigardi kiel vi povas akiri interne retpaĝaroj. 619 00:30:29,200 --> 00:30:31,130 Kaj se vi lernas kiel vi povas akiri interne retpaĝoj, vi povas lerni kiel 620 00:30:31,130 --> 00:30:34,960 protekti vin de atingi interne retpaĝaroj. 621 00:30:34,960 --> 00:30:39,100 Lasu min zomi ĉar eble vi uloj ne rigardante tiun rajton. 622 00:30:39,100 --> 00:30:46,350 >> El la SQL injekton por bombardi, tiel speco de kiel mi povas preni de SQL 623 00:30:46,350 --> 00:30:48,530 injekton al ŝelo. 624 00:30:48,530 --> 00:30:53,890 Kaj vi elŝuti ĉi virtuala maŝino. 625 00:30:53,890 --> 00:30:55,690 Kaj la virtuala maŝino jam venas kun la retejo kiun vi estas 626 00:30:55,690 --> 00:30:56,780 tuj provos ĝin plu. 627 00:30:56,780 --> 00:30:58,030 Vi elŝuti ĉi PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 Kaj tio montros al vi linion por linio kia vi devas fari, kion vi kontrolu. 630 00:31:08,370 --> 00:31:14,560 Jen kia atakanto efektive faras por ricevi ene de retejo. 631 00:31:14,560 --> 00:31:15,750 >> Kaj iuj el ĉi ŝtofo estas komplika. 632 00:31:15,750 --> 00:31:17,520 Mi deziras, ke mi povus iri super pli aferojn kun vi uloj. 633 00:31:17,520 --> 00:31:21,090 Sed mi timas ke vi uloj havas ne vere - 634 00:31:21,090 --> 00:31:23,090 ĉi tiu estas kion mi transiris kun you guys, retejo testoj 635 00:31:23,090 --> 00:31:26,830 por penetrado testado. 636 00:31:26,830 --> 00:31:33,540 Ne vere scias kion SQL estas kaj kio - 637 00:31:33,540 --> 00:31:35,960 Carl Jackson seminario is awesome tiel. 638 00:31:35,960 --> 00:31:37,360 Vi infanoj ne scias specon de kio tio estas. 639 00:31:37,360 --> 00:31:39,450 Sed se vi iros al tiu paĝo, kaj vi elŝuti tiujn lernilojn kaj tiuj 640 00:31:39,450 --> 00:31:43,290 PDFs, vi povas tuj iri ĉe ian kia la areo de sekureco vere faras 641 00:31:43,290 --> 00:31:46,940 en penetrado testado, vidi kiel vi povas get interne retejojn kaj protekti 642 00:31:46,940 --> 00:31:48,020 mem el ĝi. 643 00:31:48,020 --> 00:31:56,360 >> Do, se mi faros super rapidan superrigardon, tio estos malhelpi kruco-ejo scripting. 644 00:31:56,360 --> 00:32:00,160 Vi volas uzi htmlspecialchars ĉiu tempo la uzulo enigas ion. 645 00:32:00,160 --> 00:32:01,580 Malhelpi SQL injekto. 646 00:32:01,580 --> 00:32:04,510 Se vi faros tion, vi jam pli bone fartas ol Harvard estis 647 00:32:04,510 --> 00:32:06,530 Kiam ili atingis rompis. 648 00:32:06,530 --> 00:32:10,510 Kaj certigi vian pasvortoj ne estas en plata teksto. 649 00:32:10,510 --> 00:32:16,220 Certiĝu vi faras ne nur unu vojo hash ilin sed ke vi uzas kripto, la PHP- 650 00:32:16,220 --> 00:32:18,670 funkcio, kiun mi montris al vi knaboj. 651 00:32:18,670 --> 00:32:20,060 Tiel, vi devus esti bona. 652 00:32:20,060 --> 00:32:25,830 >> Ankaŭ, se viaj amikoj lasu vin, kuri SQL injekti Min sur siaj retejoj. 653 00:32:25,830 --> 00:32:28,140 Kuru kruco-ejo skripta sur siaj retejoj. 654 00:32:28,140 --> 00:32:33,720 Kaj vi vidos multajn el tiuj retejoj havi ton de prospektivo. 655 00:32:33,720 --> 00:32:40,400 Estas nekredeble, kiom multe da homoj forgesas al sanitize siaj datumbazoj aŭ fari 656 00:32:40,400 --> 00:32:46,340 certas kion la persono inputting ne estas skripto kodo. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Mi ia finiĝis vere frue. 659 00:32:49,182 --> 00:32:56,510 Sed se iu havas demandojn pri ion ajn, vi povas pafi al mi demandon. 660 00:32:56,510 --> 00:32:56,630 Jes. 661 00:32:56,630 --> 00:32:56,970 Iru, iru. 662 00:32:56,970 --> 00:32:59,846 >> Spektantaro: Mi nur volas demandi, ĉu vi povas klarigi kiel la dosiero 663 00:32:59,846 --> 00:33:03,160 alŝutu ekzakte verkoj. 664 00:33:03,160 --> 00:33:03,480 >> Luciano Arango: Jes. 665 00:33:03,480 --> 00:33:06,350 Mi do montros al vi la dosieron alŝutu reala rapida. 666 00:33:06,350 --> 00:33:11,300 Do la dosiero upload - 667 00:33:11,300 --> 00:33:14,500 la problemo konvinkigxi la dosiero alŝuto nun estas, ke - 668 00:33:14,500 --> 00:33:18,541 Mi tuj malfermu la kodo tiom you guys vidas la kodon malantaŭ la scenoj. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 Kaj oni alŝutu. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Jen la kodo por la dosiero uploader. 673 00:33:31,560 --> 00:33:33,980 >> Ni provas iri en tiun dosierujo super tie. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 Kaj ni provas, iam ni enigo la dosiero, isset dosiero - do kiam ekzistas 676 00:33:44,880 --> 00:33:50,900 dosiero en dosieroj, tiu bildo, tiam ni provas movi ĝin tien. 677 00:33:50,900 --> 00:33:51,910 Ni havigu la dosiero super tie. 678 00:33:51,910 --> 00:33:58,350 La metodo estas POST, tipo, bildo, dosiero. 679 00:33:58,350 --> 00:33:59,630 Kaj ni sendas tiun dosieron. 680 00:33:59,630 --> 00:34:03,910 Kaj poste iam ni atingos ĝin, do unufoje dosieron havas bildon, ni provas sendi ĝin 681 00:34:03,910 --> 00:34:05,060 al tiu ĉi dosierujo. 682 00:34:05,060 --> 00:34:09,814 >> La problemo estas ke la retejo ne estas lasi min iri al tiu dosierujo, 683 00:34:09,814 --> 00:34:12,239 ĉar ne volis min iri reen. 684 00:34:12,239 --> 00:34:13,489 Ĝi ne volas, ke mi iru - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Mi devas iri - Do jen alŝutu. 687 00:34:17,070 --> 00:34:17,639 Jen bildoj. 688 00:34:17,639 --> 00:34:21,780 Mi devas iri la tutan vojon reen al la komencante kaj metis gxin en tie kaj tiam 689 00:34:21,780 --> 00:34:23,820 iru, kaj metis gxin en la dosierujo. 690 00:34:23,820 --> 00:34:30,000 Do se mi kuris terminalo fenestro, kaj mi volis movi dosieron - 691 00:34:30,000 --> 00:34:30,409 [Inaudibles] 692 00:34:30,409 --> 00:34:32,159 povas vidi ĝin. 693 00:34:32,159 --> 00:34:37,940 Se mi volas kopii dosieron, mi devas meti la dosiernomon kaj tiam la 694 00:34:37,940 --> 00:34:40,860 kompleta vojo mi deziras sendi ĝin al. 695 00:34:40,860 --> 00:34:45,110 >> Kaj tiam la servilo ne estas lasante min iri reen. 696 00:34:45,110 --> 00:34:46,929 Kaj tiel ĝi ne estas lasanta min forpreni tiun dosieron. 697 00:34:46,929 --> 00:34:47,670 Sed normale - 698 00:34:47,670 --> 00:34:49,360 do tie estas kodo por alŝuti dosieron. 699 00:34:49,360 --> 00:34:52,260 Do normale ke pasos estas ke la persono ne estas kontrolanta ĉu mia dosieron 700 00:34:52,260 --> 00:34:57,920 finiĝas per. jpg, do mi volus kontroli. 701 00:34:57,920 --> 00:35:00,054 Permesu al mi malfermi ekzemplo tro reala rapida. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Tiu persono dekstre - 705 00:35:09,230 --> 00:35:11,980 tiel ekzemple du estas kontrolanta se preg_match - 706 00:35:11,980 --> 00:35:14,180 tie ĝi estas ĉi tie - 707 00:35:14,180 --> 00:35:19,660 por certiĝi, ke finiĝas per PHP, kiu estas bona. 708 00:35:19,660 --> 00:35:20,580 Tio estas bona. 709 00:35:20,580 --> 00:35:22,820 Sed estas vera granda problemon kun tiu. 710 00:35:22,820 --> 00:35:24,600 Tio estas bona. 711 00:35:24,600 --> 00:35:44,190 Sed se mi estus meti dosieron nomatan myfavoritepicture.php.jpeg, mi povis 712 00:35:44,190 --> 00:35:50,060 ankoraŭ potenciale forigi la jpeg kaj kuri it.k Tio PHP La danĝera. 713 00:35:50,060 --> 00:35:53,850 Vi ne volas la persono por povi kuri kodon en vian retejon. 714 00:35:53,850 --> 00:35:55,750 >> Sed tiam. Jpeg lasas pasi. 715 00:35:55,750 --> 00:36:00,720 La ideo estas kion vi vere volas fari ne prenu dosierojn, A. Sed, bone, kion 716 00:36:00,720 --> 00:36:07,500 vi vere volas fari estas certiĝi ke vi legis la tutan mondon. 717 00:36:07,500 --> 00:36:08,720 Kaj tie estas nenio. Php en ĝi. 718 00:36:08,720 --> 00:36:10,500 Tie estas neniu. Php en la tutan dosiernomon. 719 00:36:10,500 --> 00:36:12,780 >> Spektantaro: Sed kion vi povis meti. jpeg je la fino. 720 00:36:12,780 --> 00:36:15,830 La serviloj ankoraux kuras la kodon. 721 00:36:15,830 --> 00:36:16,870 >> Luciano Arango: Ne, tio ne volas kuri en la komenco. 722 00:36:16,870 --> 00:36:22,310 Vi devos iri reen kaj provi Por vidi, cxu vi povas - 723 00:36:22,310 --> 00:36:24,210 >> Spektantaro: Do ​​ni devas - 724 00:36:24,210 --> 00:36:26,020 OK, simple alia aro kiu engaĝas - 725 00:36:26,020 --> 00:36:26,936 >> Luciano Arango: Jes. 726 00:36:26,936 --> 00:36:29,230 >> Spektantaro: okej. 727 00:36:29,230 --> 00:36:31,486 >> Luciano Arango: Jes. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Ajna alia demandojn? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Mi tuj forlasi ĉi tien kaj ordigi de provi vidi se vi uloj povas - 732 00:36:37,350 --> 00:36:40,490 la aliaj aĵoj estas iomete pli komplika, ĉar ili postulas multe 733 00:36:40,490 --> 00:36:44,050 pli kono de SQL ol nur la komencante kono de ttt SQL estas kaj 734 00:36:44,050 --> 00:36:47,010 kio JavaScript estas. 735 00:36:47,010 --> 00:36:49,730 Sed mi provos teni ĉi supre, kaj espereble vi infanoj lernos 736 00:36:49,730 --> 00:36:53,230 pri tio kaj provas preni peek ĉe kion vi povas fari kaj kiom da ekzemploj 737 00:36:53,230 --> 00:36:54,420 vi povas ricevi tra. 738 00:36:54,420 --> 00:36:56,020 >> Iu havas aliajn demandojn pri ĝi? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Antaŭen. 741 00:37:00,350 --> 00:37:01,170 Yeah, pafi, pafu. 742 00:37:01,170 --> 00:37:01,580 Jes, iru antaŭen. 743 00:37:01,580 --> 00:37:01,850 Antaŭen. 744 00:37:01,850 --> 00:37:02,310 >> Spektantaro: okej. 745 00:37:02,310 --> 00:37:08,870 Do mi aŭdis pri kiel Magia Quotes ili ne atingas sufiĉan. 746 00:37:08,870 --> 00:37:09,280 >> Luciano Arango: Kion - 747 00:37:09,280 --> 00:37:10,110 Magia Quotes 748 00:37:10,110 --> 00:37:10,595 >> Spektantaro: Jes. 749 00:37:10,595 --> 00:37:15,445 Do ĝi aldonas - do ĉiam vi enigo ion, ŝi ĉiam aldonas citilojn. 750 00:37:15,445 --> 00:37:15,930 >> Luciano Arango: Jes. 751 00:37:15,930 --> 00:37:16,000 Jes. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> Spektantaro: Kaj tiam mi kvankam ke laboris, sed tiam mi serĉis ĝin. 754 00:37:19,113 --> 00:37:21,648 Kaj gxi diris ke estas ne bona. 755 00:37:21,648 --> 00:37:23,050 Sed mi ne certas kial. 756 00:37:23,050 --> 00:37:23,360 >> Luciano Arango: Jes. 757 00:37:23,360 --> 00:37:26,240 >> Spektantaro: Ne uzu Magia Quotes, ĉar ĝi ne estas sekura. 758 00:37:26,240 --> 00:37:26,360 >> Luciano Arango: okej. 759 00:37:26,360 --> 00:37:31,735 Do Magia Quotes estas kiam vi enmetas SQL kaj gxi jam aldonas la kurzon por vi. 760 00:37:31,735 --> 00:37:33,520 >> Spektantaro: Ĝi ĉiam aldonas citilojn ĉirkaŭ kio ajn vi enmetita tien 761 00:37:33,520 --> 00:37:34,210 >> Luciano Arango: Jes. 762 00:37:34,210 --> 00:37:37,190 Do la problemo kun tio estas, ke - 763 00:37:37,190 --> 00:37:38,445 Mi rigardu - 764 00:37:38,445 --> 00:37:41,390 >> Spektantaro: Kiel tio akiri la SQL aserto? 765 00:37:41,390 --> 00:37:44,690 Aŭ mi supozas gxi povus esti kiel citaĵo elektu. 766 00:37:44,690 --> 00:37:49,030 >> Luciano Arango: Jes, vi bezonos bonaj citaĵoj la SQL. 767 00:37:49,030 --> 00:37:52,900 >> Spektantaro: Ne, sed la servilo faras ĝin por vi. 768 00:37:52,900 --> 00:37:54,460 >> Luciano Arango: Tiuj malgrandaj citaĵoj ĝuste ĉi tie, ĉi tiuj malgranduloj citiloj? 769 00:37:54,460 --> 00:37:55,670 >> Spektantaro: Jes. 770 00:37:55,670 --> 00:37:56,450 >> Luciano Arango: Jes. 771 00:37:56,450 --> 00:37:59,860 La problemo estas ke vi povas diri la lastan - 772 00:37:59,860 --> 00:38:05,770 OK, do, kion mi povas fari, estas mi povas diri ekster - do ni rigardu - lasu min 773 00:38:05,770 --> 00:38:07,920 malfermi tekston redaktu dosiero. 774 00:38:07,920 --> 00:38:09,610 Lasu min nur redakti ĉi dekstra tien rekte. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Ĉu vi uloj vidi ke klare? 778 00:38:23,710 --> 00:38:29,730 Kion mi povas fari, estas mi povas diri el la lasta. 779 00:38:29,730 --> 00:38:32,190 Tio comment el la lasta. 780 00:38:32,190 --> 00:38:36,760 Kaj tiam mi metos ĉi tie, meti ĉiuj malicajn aferojn tie. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Do la uzanto estas reale inputting, right? 783 00:38:42,630 --> 00:38:45,230 La uzanto ne inputting tion, ĉu ne? 784 00:38:45,230 --> 00:38:47,430 Ĉi tio estas kion mi tuj enigi kiel la persono provante atingi ene. 785 00:38:47,430 --> 00:38:49,430 Mi tuj metos en - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 tio estas unu citaĵo markon. 788 00:39:00,180 --> 00:39:01,760 Estas nur squiggly por eraro. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 Kaj tiam kion la kodo estas tuj fari - 791 00:39:19,400 --> 00:39:20,190 bedaŭras, mi tuj prenos ĉi eksteren. 792 00:39:20,190 --> 00:39:22,170 Kion la kodo estas tuj fari estas ĝi tuj aldoni la unuan 793 00:39:22,170 --> 00:39:24,030 Comillas tie. 794 00:39:24,030 --> 00:39:26,040 Kaj ĝi tuj aldoni la lastan Citilo tiel. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> Kaj ĝi estas ankaŭ tuj aldoni la lasta, lasta citilo. 797 00:39:33,270 --> 00:39:37,380 Sed mi diras tiujn citaĵo markas, do ili ne kuras. 798 00:39:37,380 --> 00:39:41,440 Kaj mi fini ĉi citaĵo markas super tie. 799 00:39:41,440 --> 00:39:42,290 Ĉu vi komprenas? 800 00:39:42,290 --> 00:39:43,750 Ĉu vi perdis? 801 00:39:43,750 --> 00:39:45,880 Mi povas diri la lastan citaĵon markon kaj prizorgi la 802 00:39:45,880 --> 00:39:46,680 unua citilo. 803 00:39:46,680 --> 00:39:47,350 >> Spektantaro: Kaj ĝuste finitaj la unua. 804 00:39:47,350 --> 00:39:47,480 >> Luciano Arango: Jes. 805 00:39:47,480 --> 00:39:48,400 Kaj ĝuste fini la unuan. 806 00:39:48,400 --> 00:39:48,790 Jes, tio pravas. 807 00:39:48,790 --> 00:39:50,800 Tio estas kion mi povas fari. 808 00:39:50,800 --> 00:39:51,890 Jes. 809 00:39:51,890 --> 00:39:52,980 Ajna alia demandojn tiel? 810 00:39:52,980 --> 00:39:54,230 Tio estas bonega demando. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Ne, jes, eble. 813 00:39:59,790 --> 00:40:06,150 Mi esperas, vi uloj faros ian fari pli sentita kiam vi studas SQL kaj 814 00:40:06,150 --> 00:40:06,650 aferojn tiel. 815 00:40:06,650 --> 00:40:07,980 Sed certigi vin - 816 00:40:07,980 --> 00:40:10,340 subteni tiujn ilojn en horloĝo. 817 00:40:10,340 --> 00:40:12,760 Pardonu, tiuj iloj super tie. 818 00:40:12,760 --> 00:40:14,200 Tiuj iloj estas granda. 819 00:40:14,200 --> 00:40:17,190 Se iu havas ajnajn demandojn, vi ankaŭ povas retmesaĝi al mi. 820 00:40:17,190 --> 00:40:19,020 Ĉi tio estas mia normala retpoŝto. 821 00:40:19,020 --> 00:40:25,015 Kaj ĉi tiu estas mia laboro retpoŝto, kiun estas kiam mi laboras ĉe maroj. 822 00:40:25,015 --> 00:40:26,040 >> OK, dankon. 823 00:40:26,040 --> 00:40:26,740 Dankon, knaboj. 824 00:40:26,740 --> 00:40:27,860 Vi estas bona por iri. 825 00:40:27,860 --> 00:40:28,830 Vi ne devas resti ĉi tie. 826 00:40:28,830 --> 00:40:29,570 Ne aplaŭdas. 827 00:40:29,570 --> 00:40:30,170 Tio estas stranga. 828 00:40:30,170 --> 00:40:31,420 OK, dankon, knaboj. 829 00:40:31,420 --> 00:40:32,320