1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> Luciano ARANGO: OK, kutid. 3 00:00:10,300 --> 00:00:11,550 Minu nimi on Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Ma olen üliõpilane Adams House. 5 00:00:13,915 --> 00:00:17,550 Ja me räägime veebi turvalisus aktiivne kaitse. 6 00:00:17,550 --> 00:00:24,220 Nii ma töötan Office of Information Turvalisus merel. 7 00:00:24,220 --> 00:00:28,670 Ja suvel ma interneeritud SeguraTec, mis oli teave 8 00:00:28,670 --> 00:00:31,310 turvafirma, mis oli Panga of Columbia. 9 00:00:31,310 --> 00:00:34,740 See on enamasti, kus ma õppisin mida ma olen õppinud nii kaugele. 10 00:00:34,740 --> 00:00:37,990 >> Ja nii mõned materjal, mis me oleme lähen üle täna, et me ei ole 11 00:00:37,990 --> 00:00:39,670 tegelikult rääkisime klassis. 12 00:00:39,670 --> 00:00:40,410 Aga me varsti. 13 00:00:40,410 --> 00:00:42,360 See saab olema nagu SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 Ja me ei ole tõesti läinud üle. 15 00:00:44,870 --> 00:00:47,730 Nii et ma võib järjestada lennu läbi ja sa ei pruugi teada mõningaid asju. 16 00:00:47,730 --> 00:00:48,890 Kuid varsti saate teada seda. 17 00:00:48,890 --> 00:00:52,080 Ja siis see kõik on mõtet. 18 00:00:52,080 --> 00:00:54,010 Ka teine ​​asi - 19 00:00:54,010 --> 00:00:55,780 jääda eetiline. 20 00:00:55,780 --> 00:01:00,560 Mõned asjad, mida sa õpid, siis võib kasutada mitte-eetiline viisil. 21 00:01:00,560 --> 00:01:01,950 >> Kui see on sinu oma, kindlasti proovida. 22 00:01:01,950 --> 00:01:04,500 Ma kindlasti motiveerib teid proovida oma servereid, proovige 23 00:01:04,500 --> 00:01:05,519 läheb sees. 24 00:01:05,519 --> 00:01:08,500 Vaadake, kas saate tungida nende kui saad sees. 25 00:01:08,500 --> 00:01:09,560 Aga mitte keegi teine. 26 00:01:09,560 --> 00:01:12,390 Cops tõesti ei meeldi naljad ja Üldiselt me ​​paneme selle siia. 27 00:01:12,390 --> 00:01:14,040 Olime jamamist. 28 00:01:14,040 --> 00:01:15,780 Nad saavad tõesti vihane. 29 00:01:15,780 --> 00:01:18,700 >> Nii pea üle sellel veebilehel. 30 00:01:18,700 --> 00:01:23,560 Mul on see avatud siin. 31 00:01:23,560 --> 00:01:26,780 See on veebileht, ja see on hunnik näiteid. 32 00:01:26,780 --> 00:01:30,000 Mis juhtub on see, et esimene näide on omamoodi kavatse olla palju lihtsam 33 00:01:30,000 --> 00:01:33,470 kui viimane näide selles mõttes et esimese näite 34 00:01:33,470 --> 00:01:34,970 on täiesti ebakindel. 35 00:01:34,970 --> 00:01:40,850 Ja viimane on omamoodi mida tavaline web turvalisuse inimene teeks. 36 00:01:40,850 --> 00:01:42,760 Aga sa võid veel omamoodi ja hakkaja, et. 37 00:01:42,760 --> 00:01:44,860 Ja me ei kavatse keskenduda ühele ja kaks, näited üks ja kaks. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Alustame murdskriptimise. 41 00:01:52,780 --> 00:01:56,100 JavaScript juhitakse kliendi brauser. 42 00:01:56,100 --> 00:01:59,980 See on programmeerimiskeel, mida saate kasutada käivitada kliendi brauser, 43 00:01:59,980 --> 00:02:04,120 sa ei pea uuendada veebilehel ja minna tagasi serverisse. 44 00:02:04,120 --> 00:02:04,940 Sa pead seda näitama. 45 00:02:04,940 --> 00:02:08,870 Näiteks, Facebook, et sa ei pea taaslaadida kodulehel uus staatus 46 00:02:08,870 --> 00:02:09,710 uuendused tulla. 47 00:02:09,710 --> 00:02:12,170 Seda kasutades JavaScript genereerida kõik need asjad. 48 00:02:12,170 --> 00:02:16,290 Nii saame süstida pahatahtlik JavaScript arvesse veebilehed. 49 00:02:16,290 --> 00:02:20,890 Ja nii, kui me saata lingi keegi, võiksime omamoodi saadab selle koos 50 00:02:20,890 --> 00:02:23,050 mõned koodi, mida me tahame. 51 00:02:23,050 --> 00:02:26,450 >> Seal on püsiv ja mittepüsiva JavaScript - 52 00:02:26,450 --> 00:02:30,640 püsiv ja mittepüsiva cross-site skriptid, ma mõtlen. 53 00:02:30,640 --> 00:02:33,760 Ja selle erinevusega, et püsiv on JavaScript, mis on 54 00:02:33,760 --> 00:02:36,060 salvestatud kodulehel. 55 00:02:36,060 --> 00:02:39,780 Ja mittepüsiva on JavaScript et tegelikult lihtsalt juhtub üks kord. 56 00:02:39,780 --> 00:02:41,795 Nii vaatame näiteks päris kiire. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Nii et see veebileht, lihtne, midagi ei juhtu siin. 60 00:02:51,620 --> 00:02:53,070 Ja me ei kavatse proovida lisada mõned JavaScript. 61 00:02:53,070 --> 00:02:58,110 Niisiis, kuidas me hakake JavaScript on me alustame algusest script. 62 00:02:58,110 --> 00:03:00,570 Ja me lõpetame selle skripti. 63 00:03:00,570 --> 00:03:03,770 Me lihtsalt paneme sõnum - 64 00:03:03,770 --> 00:03:05,410 Ma näitan sulle - 65 00:03:05,410 --> 00:03:06,500 tähelepanelik. 66 00:03:06,500 --> 00:03:11,150 Alert on funktsioon, JavaScript kasutab näidata midagi. 67 00:03:11,150 --> 00:03:12,400 Seega proovime kiirelt. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Ma lähen, tähelepanelik tere. 70 00:03:18,944 --> 00:03:20,400 Noh, ma unustasin panna - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Nii et lihtne. 74 00:03:26,540 --> 00:03:28,730 >> Panime JavaScript veebilehel, ja see tuli. 75 00:03:28,730 --> 00:03:31,200 Ja see omamoodi juhtub ainult meie kodulehel, eks? 76 00:03:31,200 --> 00:03:33,040 Nii tundub, et see ei ole probleem, eks? 77 00:03:33,040 --> 00:03:34,920 Ma mõtlen, kuidas sa võisid kasutada seda pahatahtlikult? 78 00:03:34,920 --> 00:03:39,930 Niisiis, kuidas häkkerid teha see on tõesti lihtne. 79 00:03:39,930 --> 00:03:40,970 Nad hakkavad seda haarata. 80 00:03:40,970 --> 00:03:43,750 Nad võivad saata see link teile. 81 00:03:43,750 --> 00:03:46,780 Kui ma saadan selle link teile kohe, ja avate selle üles, siis läheb 82 00:03:46,780 --> 00:03:51,620 öelda, tere öelda, et mu veebilehte ütleb teile tere. 83 00:03:51,620 --> 00:03:57,280 >> Ja nii, kui ma midagi öelda natuke targemaks, kui ma tõmba 84 00:03:57,280 --> 00:03:59,880 JavaScript funktsioon I liiki juba kirjutasin - 85 00:03:59,880 --> 00:04:03,940 aga kui te vaatate, siis ma lähen üle enne, kui ma kirjutasin selle. 86 00:04:03,940 --> 00:04:06,650 Nii et me seada timeout. 87 00:04:06,650 --> 00:04:08,450 Me ootame paar sekundit. 88 00:04:08,450 --> 00:04:13,970 Tegelikult me ​​ei kavatse oodata, kui Ma ei eksi, viis sekundit. 89 00:04:13,970 --> 00:04:15,870 See läheb millisekundites. 90 00:04:15,870 --> 00:04:18,640 Ja siis see, mida me teeme, on meil läheb hoiatada, et login 91 00:04:18,640 --> 00:04:21,459 aegunud sisse tagasi sisse 92 00:04:21,459 --> 00:04:23,990 Ja me asukohta muuta teise asukohta. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Nii et kui ma saadan selle veebilehekülje, et keegi, nad ei kavatse olla 95 00:04:32,970 --> 00:04:34,380 vaatab ringi, rahulik. 96 00:04:34,380 --> 00:04:35,650 Midagi ei juhtu. 97 00:04:35,650 --> 00:04:38,550 Ja viis sekundit, siis läheb öelda oma login aegunud. 98 00:04:38,550 --> 00:04:40,200 Palun logi uuesti sisse 99 00:04:40,200 --> 00:04:43,400 Kui nad klõpsake OK, ma lähen võtma neid teisele veebilehele. 100 00:04:43,400 --> 00:04:45,980 Võib eeldada, et veebilehel läheb olema sarnane veebileht, 101 00:04:45,980 --> 00:04:47,280 nad olid varem. 102 00:04:47,280 --> 00:04:50,770 Ja nad ei kavatse siseneda oma Volituste oma kodulehel asemel 103 00:04:50,770 --> 00:04:51,850 oma veebilehel. 104 00:04:51,850 --> 00:04:54,780 >> Ja nii ma ei saa saata inimesi Post selle lingi. 105 00:04:54,780 --> 00:04:56,240 Ma ütlen, oh, siin on link. 106 00:04:56,240 --> 00:04:57,290 See on pank, näiteks. 107 00:04:57,290 --> 00:05:01,390 Ma ütlen, siin, minge seda linki. 108 00:05:01,390 --> 00:05:03,730 Ja kui nad saadavad need, nad kavatse lugemas ümber. 109 00:05:03,730 --> 00:05:07,560 Ma ei oota 15 sekundit, 20 sekundit ning seejärel ilmub see palun uuesti sisse 110 00:05:07,560 --> 00:05:08,840 logige uuesti sisse. 111 00:05:08,840 --> 00:05:10,120 Te võite seda palju rohkem asju. 112 00:05:10,120 --> 00:05:13,190 See on keeruline, kuna te ei ole näinud JavaScript, nii et võite 113 00:05:13,190 --> 00:05:14,750 ei tea, mõned ülesanded. 114 00:05:14,750 --> 00:05:18,625 Aga kõik, mida pead tegema, on algus koos script, lõpeb skripti. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 Ja sa võiksid panna midagi aasta keskel. 117 00:05:25,510 --> 00:05:27,350 >> Alert on funktsioon, oodake. 118 00:05:27,350 --> 00:05:29,365 Window asukoha vie uude asukohta. 119 00:05:29,365 --> 00:05:31,370 Aga sa saad teha palju enamat. 120 00:05:31,370 --> 00:05:32,630 Ja mõte on see, et Kui me võtame ära. 121 00:05:32,630 --> 00:05:39,350 Kui ma lähen näiteks kaks, ja ma panna selle sama koodi, on 122 00:05:39,350 --> 00:05:40,210 ei hakka tööle. 123 00:05:40,210 --> 00:05:43,620 Nii, et see printimiseks kõik läbi, sest Mis sellel veebilehel algselt 124 00:05:43,620 --> 00:05:50,350 kas on siis, kui ma panen siin midagi, see saab välja printida siit. 125 00:05:50,350 --> 00:05:52,390 Nii et see ei prindi midagi välja. 126 00:05:52,390 --> 00:05:55,560 See näide on tegelikult kontrollimiseks näha, kui script on olemas. 127 00:05:55,560 --> 00:05:57,163 Nii et jah, edasi minna. 128 00:05:57,163 --> 00:05:57,606 Küsi minult. 129 00:05:57,606 --> 00:05:59,560 >> Publik: ei saada saada või postitada taotlust? 130 00:05:59,560 --> 00:06:00,670 >> Luciano ARANGO: Jah. nad saatmise get taotluse. 131 00:06:00,670 --> 00:06:01,350 >> Publik: On või? 132 00:06:01,350 --> 00:06:02,490 >> Luciano ARANGO: Jah. 133 00:06:02,490 --> 00:06:04,030 Ka brauserid kasutavad post taotleb. 134 00:06:04,030 --> 00:06:07,470 Aga ma üritan näidata GET nõudmised nii et me saame näha, mis on 135 00:06:07,470 --> 00:06:10,760 tegelikult toimub. 136 00:06:10,760 --> 00:06:12,880 Ja kui me vaatame seda koodi - nii see ei toimi enam. 137 00:06:12,880 --> 00:06:24,870 Ja kui me vaatleme seda koodi, see saab olema näiteks kaks. 138 00:06:24,870 --> 00:06:29,300 Mida see inimene teeb, inimene eest see brauser - 139 00:06:29,300 --> 00:06:35,370 avama, OK - 140 00:06:35,370 --> 00:06:39,290 asendab sõna script. 141 00:06:39,290 --> 00:06:42,850 See on PHP, mis te võiks näinud natuke veel. 142 00:06:42,850 --> 00:06:46,250 >> Ta lihtsalt asendades sõna skripti nimi. 143 00:06:46,250 --> 00:06:50,895 Nii aga kui ma edasi minna ja lihtsalt panna - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 kui ma krabama minu kood uuesti ja ma lähen seda muuta natuke. 146 00:07:02,360 --> 00:07:15,010 Selle asemel, et script, ma lähen muuta seda skripti kapitali R. 147 00:07:15,010 --> 00:07:16,390 me näha, kas see kood töötab. 148 00:07:16,390 --> 00:07:19,090 Nii et see ei prindi see välja, mis on hea märk. 149 00:07:19,090 --> 00:07:21,990 Ja loodetavasti kaks sekundit, see läheb avanes. 150 00:07:21,990 --> 00:07:22,820 >> Sinu sisselogimine aegus. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Kõik on korras. 153 00:07:24,460 --> 00:07:27,670 Nii kontrollides skript pruugi töötada. 154 00:07:27,670 --> 00:07:28,130 Isik - 155 00:07:28,130 --> 00:07:32,290 seda saab vaadata ka script suurtäht, script väiketähed, str puhul 156 00:07:32,290 --> 00:07:34,180 võrrelda, siis veenduge, et nad on sama. 157 00:07:34,180 --> 00:07:38,480 Aga häkker saab ikka omamoodi mida tegime Vigenere kui kolisime 158 00:07:38,480 --> 00:07:40,620 tagasi paar märki, edasi liikuda. 159 00:07:40,620 --> 00:07:43,470 Ja see võib aru saada, kuidas panna script sinna tagasi, et ta saaks süstida 160 00:07:43,470 --> 00:07:44,460 et script. 161 00:07:44,460 --> 00:07:50,370 >> Nii et mida sa tahad kasutada on htmlspecialchars et 162 00:07:50,370 --> 00:07:51,330 kaitsta oma veebilehel. 163 00:07:51,330 --> 00:07:56,490 Ja mida see teeb, on see teeb kindel, et mida sa panna - 164 00:07:56,490 --> 00:07:59,610 Näiteks noteeringud või selle suurem või väiksem - 165 00:07:59,610 --> 00:08:04,701 asendatakse millegi mis ei ole - 166 00:08:04,701 --> 00:08:05,951 las ma suumida siin - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 tegelik ampersand. 169 00:08:09,685 --> 00:08:13,420 See asendab need erilised HTML märgid, mida me näeme, kui me 170 00:08:13,420 --> 00:08:14,670 räägime - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 oh, see läheb võtab mind tagasi - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 need tegelased siin. 175 00:08:25,380 --> 00:08:28,180 >> Need tähendada, et midagi on tulemas. 176 00:08:28,180 --> 00:08:31,570 HTML, mis algavad sulg ütleb meile, et midagi 177 00:08:31,570 --> 00:08:33,299 HTML seotud on tulemas. 178 00:08:33,299 --> 00:08:33,980 Ja me tahame vabaneda sellest. 179 00:08:33,980 --> 00:08:36,200 Me ei taha panna HTML arvesse website.k Me ei taha kasutajal olema 180 00:08:36,200 --> 00:08:40,260 võimalik panna midagi oma veebilehel mis võivad mõjutada nende veebilehel, nagu 181 00:08:40,260 --> 00:08:43,480 skripti või HTML või midagi sellist. 182 00:08:43,480 --> 00:08:53,090 Tähtis on, et te Puhas kasutaja sisend. 183 00:08:53,090 --> 00:08:54,720 >> Nii saavad kasutajad sisestada palju asju. 184 00:08:54,720 --> 00:08:58,110 Ta saab sisestada hunnik asju proovida trikk oma veebilehitsejate veel 185 00:08:58,110 --> 00:08:59,410 Selle skripti koodi. 186 00:08:59,410 --> 00:09:02,870 Mida sa tahad teha, on mitte lihtsalt vaadata script, kuid otsida kõik 187 00:09:02,870 --> 00:09:04,250 mis võiks olla pahatahtlik. 188 00:09:04,250 --> 00:09:06,800 Ja htmlspecialchars teen seda teile, et te ei pea 189 00:09:06,800 --> 00:09:07,340 muretsema selle. 190 00:09:07,340 --> 00:09:12,280 Aga ärge proovige seda ise omamoodi koos oma koodi. 191 00:09:12,280 --> 00:09:14,055 Kas kõik selge XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Lähme SQL süst. 194 00:09:16,355 --> 00:09:21,010 Nii SQL süst on ilmselt number üks haavatavus 195 00:09:21,010 --> 00:09:22,490 eri veebisaite. 196 00:09:22,490 --> 00:09:24,350 Ma mõtlen, et hea näide - 197 00:09:24,350 --> 00:09:27,350 Ma lihtsalt uurides kaugemal Selle asja. 198 00:09:27,350 --> 00:09:34,430 Ja ma leidsin selle awesome artiklis, kus Ma nägin, et Harvard oli rikutud, 199 00:09:34,430 --> 00:09:35,390 oli häkkinud. 200 00:09:35,390 --> 00:09:37,370 Ja ma mõtlesin, et, noh, Kuidas nad seda teevad? 201 00:09:37,370 --> 00:09:41,660 Harvard on kõige vinge, kõige tagada ülikooli kunagi. 202 00:09:41,660 --> 00:09:43,850 Eks ole? 203 00:09:43,850 --> 00:09:45,410 Noh, rikkuda serverid häkkerid kasutada 204 00:09:45,410 --> 00:09:47,710 tehnikat nimega SQL süst. 205 00:09:47,710 --> 00:09:50,250 >> Nii et see juhtub igapäevaselt. 206 00:09:50,250 --> 00:09:53,590 Inimesed unustavad, et võtta arvesse SQL süst. 207 00:09:53,590 --> 00:09:54,930 Harvard teeb. 208 00:09:54,930 --> 00:10:00,050 Ma arvan, et siin on kirjas, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Niisiis, kuidas me - nii see, mis on see SQL süst, mis toob kõik need 210 00:10:03,550 --> 00:10:05,668 inimesed maha? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Nii SQL on programmeerimiskeel, mis me kasutame juurdepääsu andmebaasidele. 213 00:10:12,090 --> 00:10:14,560 Mis me teeme, on meil valida - 214 00:10:14,560 --> 00:10:18,510 nii et mida see loeb praegu on valida kõik laualt. 215 00:10:18,510 --> 00:10:22,640 >> SQL, muutuks nende andmebaaside mis on lauad täis informatsiooni. 216 00:10:22,640 --> 00:10:26,550 Seepärast vali kõik kasutajad kus nimi on kasutajanimi. 217 00:10:26,550 --> 00:10:28,120 Eks ole? 218 00:10:28,120 --> 00:10:30,770 Antud piisa. 219 00:10:30,770 --> 00:10:34,490 Idee SQL süst on see, et me lisada mõned pahatahtlikku koodi, mis oleks 220 00:10:34,490 --> 00:10:37,270 trikk serveri töötab midagi erinev kui see, mida ta 221 00:10:37,270 --> 00:10:38,430 algselt oli töökorras. 222 00:10:38,430 --> 00:10:44,970 Ütleme kasutajanime, panime või 1 võrdub 1. 223 00:10:44,970 --> 00:10:46,700 Nii me panna või 1 võrdub 1. 224 00:10:46,700 --> 00:10:49,890 Kuidas ta loeb nüüd saab valida Kasutajate kõike 225 00:10:49,890 --> 00:10:51,360 kasutajad - see on kõik - 226 00:10:51,360 --> 00:10:55,880 kus nimi on kasutajanimi, aga kasutajanimi on või 1 võrdub 1. 227 00:10:55,880 --> 00:11:01,760 >> Nii nimi on midagi või 1 võrdub 1. 228 00:11:01,760 --> 00:11:04,060 1 võrdub 1 on alati tõene. 229 00:11:04,060 --> 00:11:07,690 Nii et see alati tagasi teave alates nähtavad. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Me ei pea olema õige kasutajanime. 232 00:11:10,030 --> 00:11:14,240 Me saame lihtsalt midagi, mida me tahame, ja siis pöördutakse informatsiooni 233 00:11:14,240 --> 00:11:15,690 mida me vajame. 234 00:11:15,690 --> 00:11:17,160 Vaatame veel üks näide. 235 00:11:17,160 --> 00:11:22,720 >> Kui meil on valida kõike kasutajale kus nimi on DROP TABLE kasutajatele - 236 00:11:22,720 --> 00:11:26,420 nii et mida sa arvad, et see tahe kui ma panna kasutajanime 237 00:11:26,420 --> 00:11:29,560 kui DROP TABLE kasutajatele? 238 00:11:29,560 --> 00:11:30,230 Igaüks on aimu? 239 00:11:30,230 --> 00:11:31,050 Jah. 240 00:11:31,050 --> 00:11:32,470 >> Publik: See ei ütle see prügimäele kõik tabelid. 241 00:11:32,470 --> 00:11:35,460 >> Luciano ARANGO: See läheb meile öelda, prügila kõike veebilehel 242 00:11:35,460 --> 00:11:38,290 kõik andmebaasis. 243 00:11:38,290 --> 00:11:41,910 Ja mida inimesed kasutavad seda - nii Ma näitan teile poisid. 244 00:11:41,910 --> 00:11:45,462 Ma keelasin kukutades tabelid sest ma ei taha, et sa 245 00:11:45,462 --> 00:11:48,240 kutid tilk minu tabelid. 246 00:11:48,240 --> 00:11:49,850 Võtame pilk see. 247 00:11:49,850 --> 00:11:54,410 Nii see lihtsalt tõmbab teave teatud isik. 248 00:11:54,410 --> 00:11:57,550 Niisiis, kuidas me teame, kui see on mõjutatud SQL süst. 249 00:11:57,550 --> 00:12:01,545 Me läheme, et kontrollida kiirelt kui me ei pane midagi - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 andke mulle kopeerida selle koodi. 252 00:12:06,080 --> 00:12:08,140 Ma lähen üle teine. 253 00:12:08,140 --> 00:12:12,210 Ma lähen üles root ja 1 võrdub 1. 254 00:12:12,210 --> 00:12:15,510 >> See siin, see protsendimärk 23 - 255 00:12:15,510 --> 00:12:19,970 mida ta tegelikult on, kui ma vaata siinsamas - 256 00:12:19,970 --> 00:12:23,820 kuidas HTML võtab numbreid kui sa vaatleme kui panin ruumi 257 00:12:23,820 --> 00:12:28,380 siin - kui ma ruumi midagi siin, muudab see protsenti 2. 258 00:12:28,380 --> 00:12:31,420 Kas te näete seda siin kui panin ruumi? 259 00:12:31,420 --> 00:12:36,710 Kuidas see toimib on see, et sa ei saa ainult Kirjuta ASCII väärtused kaudu HTML. 260 00:12:36,710 --> 00:12:40,330 Niisiis, mida see asendab, näiteks ruumi protsenti 20. 261 00:12:40,330 --> 00:12:41,970 Ma ei tea, kas te olen näinud, et enne. 262 00:12:41,970 --> 00:12:45,100 >> See asendab hashtag koos protsenti 23. 263 00:12:45,100 --> 00:12:50,840 Vajame hashtag lõpus või kinnitus, et saaksime öelda 264 00:12:50,840 --> 00:13:00,885 andmebaasis unustada kommenteerida välja see viimane semikoolon lõpus. 265 00:13:00,885 --> 00:13:03,060 Me tahame, et ei mõtle sellele. 266 00:13:03,060 --> 00:13:05,980 Me lihtsalt tahame seda käivitada kõik et meil on eelnevalt ja 267 00:13:05,980 --> 00:13:07,450 märkusi selle välja. 268 00:13:07,450 --> 00:13:08,710 Võtame pilk see. 269 00:13:08,710 --> 00:13:14,670 >> Nii, kui ma panna midagi valesti - Ütleme näiteks, panin 2 võrdsete 270 00:13:14,670 --> 00:13:15,690 1, et see ei anna mulle midagi. 271 00:13:15,690 --> 00:13:22,930 Kui panin 1 võrdub 1, ja see ei tagasi midagi, see ütleb mulle, et 272 00:13:22,930 --> 00:13:24,660 see on haavatav SQL süst. 273 00:13:24,660 --> 00:13:29,090 Nüüd ma tean, et ükskõik Panin pärast seda - 274 00:13:29,090 --> 00:13:39,110 ja näiteks, tilk TABELID või midagi sellist 275 00:13:39,110 --> 00:13:41,190 kindlasti töö. 276 00:13:41,190 --> 00:13:44,350 Ma tean, et see on tundlikud SQL süst sest ma tean, et 277 00:13:44,350 --> 00:13:49,850 all kapuuts, see laseb mina 1 võrdub 1 asi. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> Ja kui me vaatame neid teisi ones, number kaks ja number kolm, see on 281 00:13:56,540 --> 00:13:59,110 teeme natuke rohkem kontrollimise all 282 00:13:59,110 --> 00:14:03,680 hood, mis see on. 283 00:14:03,680 --> 00:14:07,425 Nii et igaüks võimaldada drop midagi veel või proovinud? 284 00:14:07,425 --> 00:14:08,760 Kas te omamoodi saada SQL veel? 285 00:14:08,760 --> 00:14:10,430 Sest ma tean, et te pole näinud seda veel, et see on selline 286 00:14:10,430 --> 00:14:11,759 segadusse teid. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Võtame vaata. 289 00:14:18,480 --> 00:14:21,270 Mis on viis vältida SQLi? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Nii et see on tõesti oluline, sest sa poisid kindlasti tahame vältida 292 00:14:23,330 --> 00:14:24,090 seda oma veebilehtedel. 293 00:14:24,090 --> 00:14:28,040 >> Kui ei, kõik oma sõbrad hakkavad narrida kui nad langevad kõik 294 00:14:28,040 --> 00:14:29,390 oma tabeleid. 295 00:14:29,390 --> 00:14:36,150 Nii et idee on see, et teil remont SQL teatud viisil, et sobitada 296 00:14:36,150 --> 00:14:41,940 mida kasutaja sisendite teatud string. 297 00:14:41,940 --> 00:14:46,120 Niisiis, kuidas see toimib on teil valmistada andmebaasi. 298 00:14:46,120 --> 00:14:50,830 Saad valida nime, värvi ja kaloreid alates andmebaasi kutsus vilja. 299 00:14:50,830 --> 00:14:53,580 Ja seejärel, kui kaloreid on väiksem ja paneme küsimärk seal 300 00:14:53,580 --> 00:14:56,530 öeldes me sisend midagi teist. 301 00:14:56,530 --> 00:14:58,850 >> Ja värv on võrdne, ja me paneme küsimus märk öeldes me 302 00:14:58,850 --> 00:15:00,913 input midagi teine ​​samuti. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 Ja siis me käivitada, pannes 150 ja punane. 305 00:15:09,920 --> 00:15:12,820 Ja see kontrollib teha kindel, et need kaks - 306 00:15:12,820 --> 00:15:15,300 see massiiv kontrollima, et need kaks on täisarv ja 307 00:15:15,300 --> 00:15:16,550 et see on string. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Siis läheme ja me tõmmata kõik me pane see punane. 310 00:15:20,890 --> 00:15:21,964 See tähendab, et me tõmbad kõik. 311 00:15:21,964 --> 00:15:26,790 See tähendab, et me tegelikult ellu SQL avaldus ja pannakse see tagasi punane. 312 00:15:26,790 --> 00:15:30,530 Siin me teha sama, kuid me teha sama kollane. 313 00:15:30,530 --> 00:15:32,490 Ja me tõmbad kõik. 314 00:15:32,490 --> 00:15:36,140 >> Ja sel viisil, me vältida kasutaja olema võimeline sisendi midagi 315 00:15:36,140 --> 00:15:41,710 see ei ole see, mida me kindlaks, string või täisarv, näiteks. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Ma rääkisin varem, tuginedes teistele. 318 00:15:46,610 --> 00:15:50,010 Kui te hakkate oma projekti, et sa oled kindlasti ei kavatse kasutada 319 00:15:50,010 --> 00:15:52,310 bootstrap või midagi sarnast. 320 00:15:52,310 --> 00:15:53,490 Kas te olete kunagi kasutada Wordpress? 321 00:15:53,490 --> 00:15:57,170 Tõenäoliselt te olete kasutanud Wordpress kõige tõenäolisem. 322 00:15:57,170 --> 00:16:00,050 Niisiis probleem kasutades teiste inimeste asju - 323 00:16:00,050 --> 00:16:05,940 Ma lihtsalt lähen Google reaalne kiire Wordpress haavatavust. 324 00:16:05,940 --> 00:16:07,495 >> Kui ma tõmmake see üles kohe - 325 00:16:07,495 --> 00:16:08,995 Ma sõna otseses mõttes tegin kaks teist Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Me näeme, et Wordpress - 328 00:16:13,800 --> 00:16:17,450 see on dateeritud September '12. 329 00:16:17,450 --> 00:16:19,120 26 on ajakohastatud. 330 00:16:19,120 --> 00:16:23,620 Default konfiguratsiooni Wordpress enne 3,6 ei takista nende 331 00:16:23,620 --> 00:16:27,110 teatud lisatud, mis võib lihtsam 332 00:16:27,110 --> 00:16:29,790 piiriülese saidi skriptimine rünnakuid. 333 00:16:29,790 --> 00:16:34,530 Nii kiire lugu, kui me töötasime - nii et ma olin, suvel töö 334 00:16:34,530 --> 00:16:34,970 internatuuri. 335 00:16:34,970 --> 00:16:40,400 Ja me töötame koos omamoodi nagu suur krediitkaardi firma. 336 00:16:40,400 --> 00:16:42,020 >> Ja nad tugineda midagi, mida nimetatakse - 337 00:16:42,020 --> 00:16:45,740 Ma ei tea, kas te olete kunagi mänginud koos toote nimega Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla on toode, mida kasutatakse kontroll - omamoodi sarnane 339 00:16:51,750 --> 00:16:54,340 Wordpress, kasutada ehitada veebilehed. 340 00:16:54,340 --> 00:16:56,060 Nii et nad olid oma veebilehel töötab Joomla. 341 00:16:56,060 --> 00:16:59,290 See on tegelikult krediitkaardi Ettevõte Kolumbias. 342 00:16:59,290 --> 00:17:01,000 Ma viin teid oma kodulehel reaalne kiire. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Nii nad kasutada Joomla. 345 00:17:05,400 --> 00:17:08,630 Ja nad ei ole uuendatud Joomla et viimane täiendus. 346 00:17:08,630 --> 00:17:12,160 Ja kui me olime võttes pilk oma koodi, suutsime tegelikult 347 00:17:12,160 --> 00:17:18,430 mine sisse oma koodi ja varastavad kõik krediitkaardi andmeid, et neil, 348 00:17:18,430 --> 00:17:21,670 kõik krediitkaardi numbrid, nimesid, aadresse. 349 00:17:21,670 --> 00:17:22,740 Ja see oli lihtsalt - 350 00:17:22,740 --> 00:17:23,569 ja kood oli täiesti korras. 351 00:17:23,569 --> 00:17:24,710 Neil oli suur kood. 352 00:17:24,710 --> 00:17:25,389 See kõik oli turvalisus. 353 00:17:25,389 --> 00:17:26,520 Nad kontrollinud kõiki andmebaase. 354 00:17:26,520 --> 00:17:29,020 Nad tegid kindlaks, cross-site skriptimine oli fine. 355 00:17:29,020 --> 00:17:34,390 >> Aga nad kasutada midagi, mis ei olnud ajakohastada, et ei olnud turvaline. 356 00:17:34,390 --> 00:17:36,940 Ja nii, et viis nad - nii, et te kindlasti läheb kasutada muid 357 00:17:36,940 --> 00:17:40,650 Inimeste kood, teiste inimeste raamistikud ehitada oma veebilehel. 358 00:17:40,650 --> 00:17:43,860 Veenduge, et nad on turvaline, sest mõnikord see ei ole sina, see, 359 00:17:43,860 --> 00:17:44,480 eksib. 360 00:17:44,480 --> 00:17:47,440 Aga keegi teeb vea, ja siis kukuks selle tõttu. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Paroolid ja PII. 363 00:17:53,885 --> 00:17:56,820 Nii paroole. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Võtame pilk paroolid päris kiire. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Palun öelge, et igaüks turvalist - 369 00:18:06,520 --> 00:18:09,030 Ma loodan, et igaüks siin turvalist paroole. 370 00:18:09,030 --> 00:18:12,890 Ma lihtsalt ei jaksa seda nii oletus. 371 00:18:12,890 --> 00:18:14,850 Nii et te olete kindlasti läheb salvestada paroole oma veebilehtedel. 372 00:18:14,850 --> 00:18:17,440 Sa lähed, et teha midagi Logi sisse või midagi sellist. 373 00:18:17,440 --> 00:18:19,610 Oluline on see, et ei salvesta paroolid lihttekstina. 374 00:18:19,610 --> 00:18:20,860 See on väga oluline. 375 00:18:20,860 --> 00:18:23,960 Sa ei taha, et salvestada UUS lihttekstina. 376 00:18:23,960 --> 00:18:27,370 >> Ja sa kindlasti ei taha säilitada seda ühesuunaline räsi. 377 00:18:27,370 --> 00:18:32,440 Mis siis ühesuunaline hash on see, et kui sa genereerida sõna, kui sa paned selle 378 00:18:32,440 --> 00:18:36,200 sõna võtta räsifunktsiooni, siis Loo Tagasi mingisugune segasena 379 00:18:36,200 --> 00:18:39,390 sõnum või segasena komplekti võtmeid. 380 00:18:39,390 --> 00:18:40,640 Ma näitan sulle ühe näite. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Ma lähen hash nad sõna password1. 383 00:18:50,250 --> 00:18:55,280 Nii md5 Hash läheb tagasi mind mingi imelik teavet. 384 00:18:55,280 --> 00:18:59,140 >> Probleem on selles, et inimesed seal et nagu minema veebilehed on 385 00:18:59,140 --> 00:19:02,750 juba arvasin sort kõik md5 hashes. 386 00:19:02,750 --> 00:19:06,030 Mida nad tegid on nad istusid oma arvutid ja nad räsitud iga 387 00:19:06,030 --> 00:19:09,660 ühe võimaliku sõna seal kuni nad said omamoodi, mis see on. 388 00:19:09,660 --> 00:19:11,420 Kui ma peaksin otsima selle üles - 389 00:19:11,420 --> 00:19:12,420 Ma haarasin selle räsi. 390 00:19:12,420 --> 00:19:14,120 Kui ma selle hash alates - 391 00:19:14,120 --> 00:19:17,470 kui ma minema veebilehel, ja ma leida see hash, sest ma saan 392 00:19:17,470 --> 00:19:24,100 andmebaasid, ja ma ootan seda kuni keegi juba arvasin seda minu jaoks. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Jah. 395 00:19:29,100 --> 00:19:35,030 Nii et inimesed istusid, ja mis iganes md5 hash et paned, nad ei kavatse 396 00:19:35,030 --> 00:19:37,760 tagasi sulle midagi mis on sõna. 397 00:19:37,760 --> 00:19:39,800 Kui ma hash üks sõna, nagu - 398 00:19:39,800 --> 00:19:42,410 Ma ei tea - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Ma ei taha olla pettunud minu Google otsingud. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Siin see on, trees2. 403 00:19:52,780 --> 00:19:55,930 Nii palju veebilehed siiski kasutada md5 hash. 404 00:19:55,930 --> 00:19:57,730 Nad ütlevad, oh, see on turvaline. 405 00:19:57,730 --> 00:19:58,570 Me ei salvestamiseks lihttekstina. 406 00:19:58,570 --> 00:19:59,740 Meil on see md5 hash. 407 00:19:59,740 --> 00:20:01,880 Ja kõik, mida ma pean tegema, on lihtsalt Google number. 408 00:20:01,880 --> 00:20:03,940 >> Ma isegi ei pea arvutama ise. 409 00:20:03,940 --> 00:20:06,790 Võin lihtsalt Google seda ja keegi juba tegi seda minu eest. 410 00:20:06,790 --> 00:20:08,010 Siin on hunnik neid. 411 00:20:08,010 --> 00:20:09,260 Siin on hunnik paroole. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Seega kindlasti ei kasuta md5 hash, sest kõik mida sa pead 414 00:20:18,680 --> 00:20:19,140 tegema, on Google seda. 415 00:20:19,140 --> 00:20:20,390 Nii et mida sa tahad kasutada selle asemel? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Midagi kutsus soolamine. 419 00:20:31,260 --> 00:20:32,460 Mis siis soolamine on - 420 00:20:32,460 --> 00:20:36,280 te poisid mäletan, kui me olime räägi juhuslikult - 421 00:20:36,280 --> 00:20:37,920 Ma ei ole kindel, mida pset see oli - 422 00:20:37,920 --> 00:20:41,140 oli see pset seal või neli? 423 00:20:41,140 --> 00:20:45,150 >> Me rääkisime leida nõel heinakuhjas. 424 00:20:45,150 --> 00:20:48,480 Ja pset, ta ütles, et sa võiksid tegelikult aru saada, mis juhuslikult 425 00:20:48,480 --> 00:20:51,840 genereerib, sest keegi on juba jooksis juhuslik miljon korda ja lihtsalt 426 00:20:51,840 --> 00:20:53,230 omamoodi moodustunud, mida nad tekitavad. 427 00:20:53,230 --> 00:20:55,840 Mida sa tahad teha, on panna sisendkäibemaksu. 428 00:20:55,840 --> 00:20:57,130 Nii see on, mida soolamine justkui on. 429 00:20:57,130 --> 00:21:00,900 Nad juba arvasin, mida soolamine tagastab iga töö. 430 00:21:00,900 --> 00:21:04,750 >> Mis siis soolamine teeb, on paned soola. 431 00:21:04,750 --> 00:21:06,160 Paned teatud sõna. 432 00:21:06,160 --> 00:21:09,720 Ja see hash et sõna sõltuvalt mida sa panna siin. 433 00:21:09,720 --> 00:21:13,570 Nii et kui ma räsi parool üks selle lause, see läheb räsi 434 00:21:13,570 --> 00:21:17,180 teisiti, kui ma hash password1 erineva lause. 435 00:21:17,180 --> 00:21:21,670 See omamoodi annab see kuhugi alustatakse segamist alustada. 436 00:21:21,670 --> 00:21:25,970 Nii et see on palju raskem välja arvutada, kuid sa võib ikkagi arvutama seda, eriti 437 00:21:25,970 --> 00:21:26,830 kui te kasutate halb sool. 438 00:21:26,830 --> 00:21:29,650 >> Inimesed on juba ka välja mõelnud ühine soolad ja arvasin, 439 00:21:29,650 --> 00:21:31,500 mis see on. 440 00:21:31,500 --> 00:21:34,980 Random soolad on palju parem, kuid parim viis on kasutada 441 00:21:34,980 --> 00:21:38,160 midagi, mida nimetatakse krüpt. 442 00:21:38,160 --> 00:21:40,480 Ja mis krüpt saate ei - nii need funktsioonid on 443 00:21:40,480 --> 00:21:41,820 juba ehitatud teid. 444 00:21:41,820 --> 00:21:44,910 Paljud inimesed unustada, või nad unustavad seda kasutada. 445 00:21:44,910 --> 00:21:54,520 Aga kui ma otsida krüpt PHP, crypt juba tagasi hash string mind. 446 00:21:54,520 --> 00:21:58,790 Ja see tegelikult soolad mitu korda ja hashes see mitu korda. 447 00:21:58,790 --> 00:22:00,070 >> Nii et me ei pea seda tegema. 448 00:22:00,070 --> 00:22:04,790 Nii et kõik mida sa pead tegema, on Kirjuta see krüpt. 449 00:22:04,790 --> 00:22:08,170 Ja see loob hea hash ilma sa muretsema sool 450 00:22:08,170 --> 00:22:08,990 või midagi. 451 00:22:08,990 --> 00:22:12,000 Sest kui sa olid sool, tuleb Teil meeles pidada, mida te soola kasutada 452 00:22:12,000 --> 00:22:13,800 sest kui ei, sa ei saa oma UUS tagasi ilma 453 00:22:13,800 --> 00:22:15,760 sool, mida kasutasite. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> Ja ka isiku tuvastamise teavet. 457 00:22:23,150 --> 00:22:26,730 Nii sotsiaalkindlustus, krediitkaardi - see on päris selge. 458 00:22:26,730 --> 00:22:31,880 Aga mõnikord inimesed unustada, kuidas ta tööd on, kui palju infot sa 459 00:22:31,880 --> 00:22:35,690 tegelikult on vaja leida mõned üks inimene? 460 00:22:35,690 --> 00:22:37,740 Keegi tegi uuringu kohta seda teed tagasi. 461 00:22:37,740 --> 00:22:40,870 Ja see oli nagu, kui teil on täielik nimi, sa ei leia 462 00:22:40,870 --> 00:22:41,610 keegi, et lihtsalt. 463 00:22:41,610 --> 00:22:43,900 Aga mis siis, kui teil on täielik nimetus ja oma sünnikuupäev? 464 00:22:43,900 --> 00:22:47,770 Kas see on piisav, et teha kindlaks keegi konkreetselt? 465 00:22:47,770 --> 00:22:52,760 >> Mida teha, kui teil on oma nime ja aadress, et nad elavad? 466 00:22:52,760 --> 00:22:55,110 Kas see on piisav, et leida keegi? 467 00:22:55,110 --> 00:23:02,490 Ja siis nad küsimus, mis on isiku tuvastamise andmed ja 468 00:23:02,490 --> 00:23:05,360 milline peaks te muretsema ei anna ära? 469 00:23:05,360 --> 00:23:08,770 Kui sa annad ära isiku tuvastamise info, et keegi annab sulle, 470 00:23:08,770 --> 00:23:11,420 te võiks saada kaevata. 471 00:23:11,420 --> 00:23:12,610 Ja me kindlasti ei taha seda. 472 00:23:12,610 --> 00:23:14,955 >> Nii et kui sa oled pannes oma kodulehel läbi, ja sul on väga lahe 473 00:23:14,955 --> 00:23:17,230 disain, loodetavasti tegite awesome lõplik projekt. 474 00:23:17,230 --> 00:23:18,370 Kõik saab nagu soovite pane see seal. 475 00:23:18,370 --> 00:23:21,420 Sa tahad teha kindel, et mis tahes te võtate kasutaja, kui see on 476 00:23:21,420 --> 00:23:25,310 isiku tuvastamise andmed, siis tahad teha kindel, et sa oled tegelikult 477 00:23:25,310 --> 00:23:26,560 ettevaatlik. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Shell süsti. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Shell süsti võimaldab sissetungija pääse oma tegeliku käsurea 482 00:23:37,590 --> 00:23:39,660 Teie server. 483 00:23:39,660 --> 00:23:44,060 Ja nii ta on võimeline sõitma kood et te ei suuda kontrollida. 484 00:23:44,060 --> 00:23:49,560 Võtame näiteks selle ilus string siin. 485 00:23:49,560 --> 00:23:55,570 Kui me minna veebilehte uuesti, ma olen lähe koodi süsti. 486 00:23:55,570 --> 00:23:58,910 Niisiis, mida see teeb, on - 487 00:23:58,910 --> 00:24:00,420 see on ka see, mida me Vaadates enne. 488 00:24:00,420 --> 00:24:11,200 Me laseme alla panna mida iganes ta tahab, ja siis välja printida 489 00:24:11,200 --> 00:24:12,220 mida iganes sa tahad. 490 00:24:12,220 --> 00:24:13,890 >> Nii et ma panen kõne. 491 00:24:13,890 --> 00:24:15,540 Mis see on - 492 00:24:15,540 --> 00:24:16,940 see hakkab liitmisel. 493 00:24:16,940 --> 00:24:19,520 Nii ta laseb minul teha mida iganes käsu isiku pooleli 494 00:24:19,520 --> 00:24:21,500 enne ja minu käsk. 495 00:24:21,500 --> 00:24:23,980 Ja Ma töötab süsteem käsk. 496 00:24:23,980 --> 00:24:27,310 Ja need viimase stringid on - mäletan mida ma rääkisin teiega umbes, 497 00:24:27,310 --> 00:24:31,725 et teil kodeerida see URL meetodit. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Kui ma saan seda nüüd - 500 00:24:36,992 --> 00:24:39,150 Ma näitan sulle, siin - 501 00:24:39,150 --> 00:24:41,100 te näete, et ma lõpetasin kuni töötab käsk. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> See on tegelikult tegelik server et minu veebileht töötab. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Nii et me ei taha, et sest ma saan käivitada - 506 00:24:58,510 --> 00:25:00,320 see server ei ole minu oma. 507 00:25:00,320 --> 00:25:04,030 Nii et ma ei taha segi ajama oma õde, Marcus serverisse. 508 00:25:04,030 --> 00:25:07,470 Aga sa võid joosta rohkem käske mis on ohtlikud. 509 00:25:07,470 --> 00:25:11,885 Ja potentsiaalselt võid kustutada faile, eemaldage katalooge. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Võin eemaldada teatud kataloogi kui Ma tahtsin, aga ma ei taha 512 00:25:17,970 --> 00:25:19,530 seda tegema, et Marcus. 513 00:25:19,530 --> 00:25:20,420 Ta on tore poiss. 514 00:25:20,420 --> 00:25:21,470 Ta laena mulle oma server. 515 00:25:21,470 --> 00:25:24,620 Nii et ma lasen tal off kohta hea. 516 00:25:24,620 --> 00:25:32,280 >> Niisiis, mida me ei taha kasutada - me ei soovite kasutada eval või süsteem. 517 00:25:32,280 --> 00:25:34,755 Eval või süsteem võimaldab meil teha neid süsteem kõned. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval abil hinnata. 520 00:25:38,410 --> 00:25:40,790 Süsteem tähendab ma jooksin. 521 00:25:40,790 --> 00:25:42,490 See kestab midagi süsteemis. 522 00:25:42,490 --> 00:25:46,730 Aga me ei saa keelustada need asjad PHP, nii et me ei kasuta neid. 523 00:25:46,730 --> 00:25:47,400 Ja file upload. 524 00:25:47,400 --> 00:25:49,180 Ma kavatsesin seda awesome asi file upload. 525 00:25:49,180 --> 00:25:52,740 Aga nagu ma ütlesin teile, mu fail upload asi ei tööta. 526 00:25:52,740 --> 00:25:54,590 Kui ma üles laadida fail kohe - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 kui ma üles laadida faili, ja see pilt - 529 00:26:00,830 --> 00:26:03,180 sul upload asi mis on pilt. 530 00:26:03,180 --> 00:26:03,660 See on hea. 531 00:26:03,660 --> 00:26:04,280 Midagi ei juhtu. 532 00:26:04,280 --> 00:26:10,840 >> Aga kui sul on upload fail, Näiteks, kui kasutaja tegelikult lisatud 533 00:26:10,840 --> 00:26:19,220 PHP fail või exe fail või midagi niimoodi, siis võiks 534 00:26:19,220 --> 00:26:19,740 on probleem. 535 00:26:19,740 --> 00:26:21,390 See töötas varem. 536 00:26:21,390 --> 00:26:25,202 Kahjuks minu jaoks, see on ei tööta enam. 537 00:26:25,202 --> 00:26:30,230 Kui ma näiteks seda faili üles laadida, ma olen ei saada luba saata 538 00:26:30,230 --> 00:26:33,400 fail tõttu server ei ole minu oma. 539 00:26:33,400 --> 00:26:38,670 Nii et see mees on tõesti tark. 540 00:26:38,670 --> 00:26:39,610 >> Nii et me ei taha - 541 00:26:39,610 --> 00:26:40,130 Ma lähen näitan sulle, poisid - 542 00:26:40,130 --> 00:26:41,840 OK, need on mõned lahedaid tööriistu. 543 00:26:41,840 --> 00:26:45,100 Nii et need - 544 00:26:45,100 --> 00:26:47,715 minna - kui te poisid on Firefox - loodetavasti sa teed. 545 00:26:47,715 --> 00:26:54,260 Seal on kaks lisandmoodulid, mida nimetatakse SQL süstitakse Mina ja Cross-Site Script mind. 546 00:26:54,260 --> 00:26:56,870 Nad avavad nii vähe side külgedel. 547 00:26:56,870 --> 00:27:01,480 Ja kui ma minema CS60 näiteks - 548 00:27:01,480 --> 00:27:04,210 nii et mida ta teeb on see välja kõigi vormide - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 Loodetavasti ei saa hädas selle eest. 551 00:27:08,760 --> 00:27:09,190 >> Aga OK. 552 00:27:09,190 --> 00:27:12,600 Siin on pin süsteem. 553 00:27:12,600 --> 00:27:18,946 Nii et kui ma hakkate otsima augud süsteem, esimene asi, mida ma ei 554 00:27:18,946 --> 00:27:21,820 avada see ilus väike tööriist küljel. 555 00:27:21,820 --> 00:27:24,160 Ja ma katsetada vormid auto rünnakuid. 556 00:27:24,160 --> 00:27:28,510 Ja mis see teeb, on see aeglaselt avada kamp brauseritega. 557 00:27:28,510 --> 00:27:29,930 Siin on hunnik brauseritega. 558 00:27:29,930 --> 00:27:33,320 Ja ta üritab iga kombinatsioon piiriülese saidi skriptimine 559 00:27:33,320 --> 00:27:37,380 et võib-olla on, kui näed küljel. 560 00:27:37,380 --> 00:27:42,080 >> Ja see annab mulle tulemus sort, mis on vastus. 561 00:27:42,080 --> 00:27:42,860 Kõik möödub. 562 00:27:42,860 --> 00:27:43,910 Ilmselt nad kõik läbi. 563 00:27:43,910 --> 00:27:46,190 Ma mõtlen, nad on väga targad inimesed seal. 564 00:27:46,190 --> 00:27:48,010 Aga kui ma joosta - 565 00:27:48,010 --> 00:27:52,050 Mul on olnud kordi, enne kui ma saan seda õpilaste lõplik projekte. 566 00:27:52,050 --> 00:27:56,080 Ma lihtsalt käivitada SQL süstitakse Mind kõik eri rünnakuid. 567 00:27:56,080 --> 00:28:00,080 Ja ta üritab SQL süstida see pin server. 568 00:28:00,080 --> 00:28:03,590 Nii et kui me kerige jaoks Näiteks öeldakse - 569 00:28:03,590 --> 00:28:04,960 see on hea, kui ta naaseb. 570 00:28:04,960 --> 00:28:08,250 >> Seega katsetatud mõned teatud väärtusi. 571 00:28:08,250 --> 00:28:11,170 Ja server tagasi koodi, mis oli negatiivne. 572 00:28:11,170 --> 00:28:11,780 Eemalda ajutiselt. 573 00:28:11,780 --> 00:28:13,030 See on hea. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Ta püüab kõiki neid teste. 576 00:28:20,750 --> 00:28:21,790 Nii võid lihtsalt käivitada - 577 00:28:21,790 --> 00:28:27,860 Ma soovin, et võiks leida veebilehel reaalne kiire, et ei lase mul - 578 00:28:27,860 --> 00:28:29,110 võibolla CS50 poest. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Wow, see läheb võtab liiga kaua aega. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Ma lasen esimese katse ei lõpeta parem. 583 00:28:55,130 --> 00:28:57,330 Nii et see kaevates. 584 00:28:57,330 --> 00:28:58,470 Nii et need on kolm asja. 585 00:28:58,470 --> 00:29:00,430 Need vahendid on tasuta. 586 00:29:00,430 --> 00:29:03,960 Võite alla laadida ja käivitada neid oma veebilehel, ja see ütleb teile, kui 587 00:29:03,960 --> 00:29:06,650 teil on piiriülese saidi skriptimine kui teil on SQL, kui teil on 588 00:29:06,650 --> 00:29:07,900 midagi sarnased. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Ma mingi jama. 591 00:29:14,500 --> 00:29:15,550 >> Mis on oluline - 592 00:29:15,550 --> 00:29:17,900 OK, nii et kunagi usalda kasutaja. 593 00:29:17,900 --> 00:29:21,920 Ükskõik kasutaja sisendite teile teha kindel, et puhasta seda, siis puhastage see 594 00:29:21,920 --> 00:29:25,300 saad kontrollida õigeid asju, et see annab sulle, mida sa 595 00:29:25,300 --> 00:29:28,240 tahan, et ta annab sulle. 596 00:29:28,240 --> 00:29:32,460 Alati tuleb ajakohastada mida raamistikud et sa tegelikult kasutades. 597 00:29:32,460 --> 00:29:34,630 Kui te kasutate midagi bootstrap - 598 00:29:34,630 --> 00:29:36,340 Ma tean, et te ei kavatse kasutada bootstrap sest ta läheb minema 599 00:29:36,340 --> 00:29:38,140 üle selle varsti klassi - 600 00:29:38,140 --> 00:29:43,120 ja Wordpress või midagi sellist, tavaliselt see võib häkkinud. 601 00:29:43,120 --> 00:29:44,770 >> Ja siis sa isegi ei tea. 602 00:29:44,770 --> 00:29:45,800 Sa oled lihtsalt töötab oma veebilehel. 603 00:29:45,800 --> 00:29:47,360 Ja see on täiesti turvaline. 604 00:29:47,360 --> 00:29:51,730 Ja sa minna. 605 00:29:51,730 --> 00:29:54,000 Nii et ma olen kalastamise tõesti varakult. 606 00:29:54,000 --> 00:29:55,770 Aga ma tahan tänada Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Ma lähen näitan teile midagi nimetatakse Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Kui te olete tõesti huvitatud mida turvalisuse tegelikult on, seal on 609 00:30:05,000 --> 00:30:07,300 kodulehel nimetatakse Pentest Labs kui te minna just nüüd. 610 00:30:07,300 --> 00:30:10,730 Noh, see pole see. 611 00:30:10,730 --> 00:30:12,030 Ma lihtsalt kasutada seda niimoodi. 612 00:30:12,030 --> 00:30:14,400 Google ütleb mulle vastuse. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 Ja see õpetab sind kasutada - nii see ütleb, õppida web tungimist 615 00:30:19,030 --> 00:30:21,060 katsetamine õige tee. 616 00:30:21,060 --> 00:30:23,650 See õpetab teile - 617 00:30:23,650 --> 00:30:25,150 Loodetavasti oled eetiline inimene. 618 00:30:25,150 --> 00:30:29,200 Aga see õpetab teile, kuidas saate vaadata kuidas saad sees veebilehed. 619 00:30:29,200 --> 00:30:31,130 Ja kui sa õpid, kuidas sa saad sees veebisaite, saate teada, kuidas 620 00:30:31,130 --> 00:30:34,960 kaitsta ennast saada sees veebilehed. 621 00:30:34,960 --> 00:30:39,100 Las ma suumida, sest äkki te ei vaata seda õigust. 622 00:30:39,100 --> 00:30:46,350 >> Alates SQL süst kest, nii et omamoodi, kuidas ma saan SQL 623 00:30:46,350 --> 00:30:48,530 süsti laduma. 624 00:30:48,530 --> 00:30:53,890 Ja alla laadida selles virtuaalne masin. 625 00:30:53,890 --> 00:30:55,690 Ja virtuaalne masin juba on koos kodulehel, et sa oled 626 00:30:55,690 --> 00:30:56,780 kavatsen proovida seda. 627 00:30:56,780 --> 00:30:58,030 Sa alla laadida selle PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 Ja see näitab rida-realt, mida mida sa pead tegema, mida vaadata. 630 00:31:08,370 --> 00:31:14,560 See on see, mida ründaja tegelikult ei saada sees veebilehel. 631 00:31:14,560 --> 00:31:15,750 >> Ja mõned see kraam on keeruline. 632 00:31:15,750 --> 00:31:17,520 Ma soovin, et ma võiks minna üle rohkem asju teiega. 633 00:31:17,520 --> 00:31:21,090 Aga ma kardan, et te ei ole tõesti - 634 00:31:21,090 --> 00:31:23,090 see on see, mida ma läksin üle koos kutid, web testid 635 00:31:23,090 --> 00:31:26,830 jaoks Inventar. 636 00:31:26,830 --> 00:31:33,540 Tõesti ei tea, mis SQL ja milleks - 637 00:31:33,540 --> 00:31:35,960 Carl Jacksoni seminar on fantastiline samuti. 638 00:31:35,960 --> 00:31:37,360 Te ei tea, sort mis see on. 639 00:31:37,360 --> 00:31:39,450 Aga kui sa lähed sellele leheküljele, ja sa laadida need õpetused ja need 640 00:31:39,450 --> 00:31:43,290 PDF, võite võtta pilk sorti mida turvalisuse valdkonnas tõepoolest 641 00:31:43,290 --> 00:31:46,940 Inventar, saad teada, kuidas saada sees veebilehed ja kaitsta 642 00:31:46,940 --> 00:31:48,020 ise seda. 643 00:31:48,020 --> 00:31:56,360 >> Nii et kui ma teen super kiire ülevaate, siis see tuleb takistada murdskriptimise. 644 00:31:56,360 --> 00:32:00,160 Te soovite kasutada htmlspecialchars iga kord, kui kasutaja sisendite midagi. 645 00:32:00,160 --> 00:32:01,580 Vältida SQL süst. 646 00:32:01,580 --> 00:32:04,510 Kui te seda teete, et sa oled juba parem kui oli Harvardi 647 00:32:04,510 --> 00:32:06,530 kui nad said rikutud. 648 00:32:06,530 --> 00:32:10,510 Ja veenduge, et paroolid ei ole teksti. 649 00:32:10,510 --> 00:32:16,220 Veenduge, et te mitte ainult ühesuunaline räsi neid aga, et te kasutate krüpt, PHP 650 00:32:16,220 --> 00:32:18,670 funktsioon, mis ma näitasin kutid. 651 00:32:18,670 --> 00:32:20,060 Nii, siis peaks olema hea. 652 00:32:20,060 --> 00:32:25,830 >> Samuti, kui teie sõbrad teile, käivitada SQL Süsti mind oma veebilehtedel. 653 00:32:25,830 --> 00:32:28,140 Run murdskriptimise oma veebilehtedel. 654 00:32:28,140 --> 00:32:33,720 Ja te näete, palju need veebilehed on ton kohti. 655 00:32:33,720 --> 00:32:40,400 See on uskumatu, kui palju inimesi unustada Puhas oma andmebaase või teha 656 00:32:40,400 --> 00:32:46,340 kindel, mida selle isiku andmed sisestanud ei ole script koodi. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Ma justkui lõppes väga vara. 659 00:32:49,182 --> 00:32:56,510 Aga kui kellelgi on küsimusi midagi, mida saab tulistada mind küsimus. 660 00:32:56,510 --> 00:32:56,630 Jah. 661 00:32:56,630 --> 00:32:56,970 Mine, mine. 662 00:32:56,970 --> 00:32:59,846 >> Publik: Ma tahan küsida, Kas oskate selgitada, kuidas faili 663 00:32:59,846 --> 00:33:03,160 upload täpselt töötab. 664 00:33:03,160 --> 00:33:03,480 >> Luciano ARANGO: Jah. 665 00:33:03,480 --> 00:33:06,350 Nii et lubage mul teile näidata pilti laadige reaalne kiire. 666 00:33:06,350 --> 00:33:11,300 Nii file upload - 667 00:33:11,300 --> 00:33:14,500 probleem vaimukus file upload praegu on see, et - 668 00:33:14,500 --> 00:33:18,541 Ma lähen, et avada kood nii kutid vaata kood kulisside taga. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 Ja see on upload. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Siin on kood faili üleslaadija. 673 00:33:31,560 --> 00:33:33,980 >> Me püüame minna seda Kataloog siia. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 Ja me üritame, kui me sisestada fail, isset faili - nii siis, kui on 676 00:33:44,880 --> 00:33:50,900 faili failides, et pilt, siis püüame liikuda siin. 677 00:33:50,900 --> 00:33:51,910 Meil haarata fail siia. 678 00:33:51,910 --> 00:33:58,350 Meetod on POST, tüüp, pildi faili. 679 00:33:58,350 --> 00:33:59,630 Ja me saadame selle faili. 680 00:33:59,630 --> 00:34:03,910 Ja siis, kui me seda saada, nii et üks fail on pilt, me üritame saata 681 00:34:03,910 --> 00:34:05,060 sellesse kataloogi. 682 00:34:05,060 --> 00:34:09,814 >> Probleemiks on, et veebileht ei ole lased mul minna sellesse kataloogi, 683 00:34:09,814 --> 00:34:12,239 sest ta ei taha, et ma tagasi minna. 684 00:34:12,239 --> 00:34:13,489 Ta ei taha, et mind minema - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Ma pean minema - et siin on laadida. 687 00:34:17,070 --> 00:34:17,639 Siin on pildid. 688 00:34:17,639 --> 00:34:21,780 Ma pean minema kogu tee tagasi alustades ja pane see sinna ja siis 689 00:34:21,780 --> 00:34:23,820 mine ja pane see kataloog. 690 00:34:23,820 --> 00:34:30,000 Nii et kui ma jooksin terminali aknas ja ma tahtsin liikuda fail - 691 00:34:30,000 --> 00:34:30,409 [Kuuldamatu] 692 00:34:30,409 --> 00:34:32,159 näen seda. 693 00:34:32,159 --> 00:34:37,940 Kui ma tahtsin liikuda faili, mul on panna faili nimi ja seejärel 694 00:34:37,940 --> 00:34:40,860 terve tee ma tahan saata see. 695 00:34:40,860 --> 00:34:45,110 >> Ja siis server ei ole lased mul minna. 696 00:34:45,110 --> 00:34:46,929 Ja nii see ei lase ma saan selle faili. 697 00:34:46,929 --> 00:34:47,670 Aga tavaliselt - 698 00:34:47,670 --> 00:34:49,360 nii seal on kood laadige fail. 699 00:34:49,360 --> 00:34:52,260 Nii tavaliselt juhtub see, et inimene pole kontrollida, kas minu fail 700 00:34:52,260 --> 00:34:57,920 lõpeb. jpeg, et ma tahaks vaadata. 701 00:34:57,920 --> 00:35:00,054 Lubage mul avada näiteks liiga kiirelt. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Selle isiku õigus - 705 00:35:09,230 --> 00:35:11,980 nii näiteks kaks kontrollib kui preg_match - 706 00:35:11,980 --> 00:35:14,180 siin see on siin - 707 00:35:14,180 --> 00:35:19,660 veenduda, et lõppeb PHP, mis on hea. 708 00:35:19,660 --> 00:35:20,580 See on hea. 709 00:35:20,580 --> 00:35:22,820 Aga seal on päris suur Probleem selles. 710 00:35:22,820 --> 00:35:24,600 See on hea. 711 00:35:24,600 --> 00:35:44,190 Aga kui ma üles fail nimega myfavoritepicture.php.jpeg, suutsin 712 00:35:44,190 --> 00:35:50,060 siiski potentsiaalselt vabaneda jpeg ja käivitada it.k See PHP on ohtlik. 713 00:35:50,060 --> 00:35:53,850 Sa ei taha, et isikul oleks joosta kood oma veebilehel. 714 00:35:53,850 --> 00:35:55,750 >> Aga siis. Jpeg laseb see läbi. 715 00:35:55,750 --> 00:36:00,720 Mõte on see, mida sa tõesti tahad teha ei võta failid, A. Aga OK, mida 716 00:36:00,720 --> 00:36:07,500 sa tõesti tahad teha, on tagada, et Lugedes üle kogu maailma. 717 00:36:07,500 --> 00:36:08,720 Ja seal on midagi. Php ta. 718 00:36:08,720 --> 00:36:10,500 Ei ole. PHP kogu faili nimi. 719 00:36:10,500 --> 00:36:12,780 >> Publik: Aga sa võiksid panna. jpeg otsas. 720 00:36:12,780 --> 00:36:15,830 Serverid siiski käivitada koodi. 721 00:36:15,830 --> 00:36:16,870 >> Luciano ARANGO: Ei, see ei ole joosta alguses. 722 00:36:16,870 --> 00:36:22,310 Sa pead minema tagasi ja proovige et näha, kui saate - 723 00:36:22,310 --> 00:36:24,210 >> Publik: Nii et me peame - 724 00:36:24,210 --> 00:36:26,020 OK, lihtsalt üks komplekt, mis hõlmab - 725 00:36:26,020 --> 00:36:26,936 >> Luciano ARANGO: Jah. 726 00:36:26,936 --> 00:36:29,230 >> Publik: OK. 727 00:36:29,230 --> 00:36:31,486 >> Luciano ARANGO: Jah. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Muid küsimusi? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Ma jätan selle üles ja sorteeri ja proovida, et näha, kas te saate - 732 00:36:37,350 --> 00:36:40,490 teised on veidi rohkem keeruline, kuna need vajavad palju 733 00:36:40,490 --> 00:36:44,050 rohkem teadmisi SQL kui lihtsalt algab teadmisi web SQL ja 734 00:36:44,050 --> 00:36:47,010 Mis on siis JavaScript välja. 735 00:36:47,010 --> 00:36:49,730 Aga ma lähen, et proovida seda seisu hoida, ja loodetavasti kutid õpivad 736 00:36:49,730 --> 00:36:53,230 sellest ja püüame heita pilgu mida saate teha ja kui palju näiteid 737 00:36:53,230 --> 00:36:54,420 saad läbi. 738 00:36:54,420 --> 00:36:56,020 >> Igaüks on mingeid muid küsimused selle kohta? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Lase käia. 741 00:37:00,350 --> 00:37:01,170 Jah, tulistada, tulistada. 742 00:37:01,170 --> 00:37:01,580 Jah, lase käia. 743 00:37:01,580 --> 00:37:01,850 Lase käia. 744 00:37:01,850 --> 00:37:02,310 >> Publik: OK. 745 00:37:02,310 --> 00:37:08,870 Kuulsin, kuidas Magic Quotes pole piisavalt turvaline. 746 00:37:08,870 --> 00:37:09,280 >> Luciano ARANGO: Mis - 747 00:37:09,280 --> 00:37:10,110 Magic Quotes? 748 00:37:10,110 --> 00:37:10,595 >> Publik: Jah. 749 00:37:10,595 --> 00:37:15,445 Seega lisab - nii et kui sisend midagi, ta on alati lisab jutumärgid. 750 00:37:15,445 --> 00:37:15,930 >> Luciano ARANGO: Jah. 751 00:37:15,930 --> 00:37:16,000 Jah. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> Publik: Ja siis ma küll, et töötas, aga siis ma otsisin ta üles. 754 00:37:19,113 --> 00:37:21,648 Ja ta ütles, et see ei ole hea. 755 00:37:21,648 --> 00:37:23,050 Aga ma ei ole kindel, miks. 756 00:37:23,050 --> 00:37:23,360 >> Luciano ARANGO: Jah. 757 00:37:23,360 --> 00:37:26,240 >> Publik: Ärge kasutage Magic Quotes, sest see ei ole turvaline. 758 00:37:26,240 --> 00:37:26,360 >> Luciano ARANGO: OK. 759 00:37:26,360 --> 00:37:31,735 Nii Magic Quotes on kui sisestate SQL ja see juba lisab quote teile. 760 00:37:31,735 --> 00:37:33,520 >> Publik: Alati lisab jutumärgid ümber iganes paned sisse 761 00:37:33,520 --> 00:37:34,210 >> Luciano ARANGO: Jah. 762 00:37:34,210 --> 00:37:37,190 Niisiis probleemi sellega, et - 763 00:37:37,190 --> 00:37:38,445 Ma võtan pilk - 764 00:37:38,445 --> 00:37:41,390 >> Publik: Kuidas see omandada SQL? 765 00:37:41,390 --> 00:37:44,690 Või ma arvan, et see võiks olla nagu quote valida. 766 00:37:44,690 --> 00:37:49,030 >> Luciano ARANGO: Jah, sa pead hea hinnapakkumisi SQL. 767 00:37:49,030 --> 00:37:52,900 >> Publik: Ei, aga server see sinu jaoks. 768 00:37:52,900 --> 00:37:54,460 >> Luciano ARANGO: Need väikesed hinnapakkumisi siin on need veidi hinnapakkumisi? 769 00:37:54,460 --> 00:37:55,670 >> Publik: Jah. 770 00:37:55,670 --> 00:37:56,450 >> Luciano ARANGO: Jah. 771 00:37:56,450 --> 00:37:59,860 Probleem on selles, et sa ei kommenteeri välja viimane - 772 00:37:59,860 --> 00:38:05,770 OK, nii et mida ma saan teha, on võin kommenteerida out - Võtame pilk - las ma 773 00:38:05,770 --> 00:38:07,920 avada teksti redigeerida faili. 774 00:38:07,920 --> 00:38:09,610 Las ma muuta seda siin otse. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Kas te näete, et selgelt? 778 00:38:23,710 --> 00:38:29,730 Mida ma saan teha, on võin kommenteerida välja viimane. 779 00:38:29,730 --> 00:38:32,190 See kommenteeri välja viimane. 780 00:38:32,190 --> 00:38:36,760 Ja siis ma panen ühe siia panna kõik pahatahtliku kraami. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Nii et kasutaja on tegelikult sisestanud, eks? 783 00:38:42,630 --> 00:38:45,230 Kasutaja ei sisestanud asjad, eks? 784 00:38:45,230 --> 00:38:47,430 See on see, mida ma lähen sisendit inimene üritavad sees. 785 00:38:47,430 --> 00:38:49,430 Ma lähen panna - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 see on üks jutumärk. 788 00:39:00,180 --> 00:39:01,760 See on lihtsalt väändunud kogemata. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 Ja mis siis kood ei kavatse seda teha - 791 00:39:19,400 --> 00:39:20,190 sorry, ma lähen seda. 792 00:39:20,190 --> 00:39:22,170 Mis koodi läheb vaja on see läheb lisada esimese 793 00:39:22,170 --> 00:39:24,030 jutumärgid siin. 794 00:39:24,030 --> 00:39:26,040 Ja see läheb lisada viimase jutumärk samuti. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> Ja see on ka kavatse lisada viimane, viimane jutumärk. 797 00:39:33,270 --> 00:39:37,380 Aga ma kommenteerides need tsitaat märgib ära, et nad ei tööta. 798 00:39:37,380 --> 00:39:41,440 Ja ma viimistlus see tsitaat märgi siia. 799 00:39:41,440 --> 00:39:42,290 Kas te saate aru? 800 00:39:42,290 --> 00:39:43,750 Oled sa eksinud? 801 00:39:43,750 --> 00:39:45,880 Ma ei kommenteeri viimane tsitaat mark ja hoolitseda 802 00:39:45,880 --> 00:39:46,680 esimene jutumärk. 803 00:39:46,680 --> 00:39:47,350 >> Publik: Ja just viimistlus esimene. 804 00:39:47,350 --> 00:39:47,480 >> Luciano ARANGO: Jah. 805 00:39:47,480 --> 00:39:48,400 Ja lihtsalt lõpetada esimene. 806 00:39:48,400 --> 00:39:48,790 Jah, see on õige. 807 00:39:48,790 --> 00:39:50,800 See on, mida teha saan. 808 00:39:50,800 --> 00:39:51,890 Jah. 809 00:39:51,890 --> 00:39:52,980 Muid küsimusi, nagu on? 810 00:39:52,980 --> 00:39:54,230 See on hea küsimus. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Ei, jah, võib-olla. 813 00:39:59,790 --> 00:40:06,150 Loodetavasti te kutid omamoodi teha mõttekam kui õpid SQL ja 814 00:40:06,150 --> 00:40:06,650 asjad niimoodi. 815 00:40:06,650 --> 00:40:07,980 Aga veenduge, et te - 816 00:40:07,980 --> 00:40:10,340 hoida neid vahendeid käekella. 817 00:40:10,340 --> 00:40:12,760 Sorry, et need vahendid on siin. 818 00:40:12,760 --> 00:40:14,200 Need vahendid on suurepärane. 819 00:40:14,200 --> 00:40:17,190 Kui kellelgi on küsimusi, saab ka emaili mulle. 820 00:40:17,190 --> 00:40:19,020 See on minu tavaline email. 821 00:40:19,020 --> 00:40:25,015 Ja see on minu töö e-posti, mis on siis, kui ma töötan merel. 822 00:40:25,015 --> 00:40:26,040 >> OK, thanks. 823 00:40:26,040 --> 00:40:26,740 Aitäh, poisid. 824 00:40:26,740 --> 00:40:27,860 Sa oled hea minna. 825 00:40:27,860 --> 00:40:28,830 Sa ei pea siin olema. 826 00:40:28,830 --> 00:40:29,570 Ärge plaksutama. 827 00:40:29,570 --> 00:40:30,170 See on imelik. 828 00:40:30,170 --> 00:40:31,420 OK, tänud, poisid. 829 00:40:31,420 --> 00:40:32,320