1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANO ARANGO: Ados, mutilak. 3 00:00:10,300 --> 00:00:11,550 Nire izena Luciano Arango da. 4 00:00:11,550 --> 00:00:13,915 Adams House sophomore bat naiz. 5 00:00:13,915 --> 00:00:17,550 Eta ari gara buruz hitz egiten joan web segurtasun defentsa aktiboa. 6 00:00:17,550 --> 00:00:24,220 Beraz Informazio Bulegoan lan egiten dut SEAS segurtasun. 7 00:00:24,220 --> 00:00:28,670 Eta udan zehar, interned dut SeguraTec, zein informazio bat izan zen 8 00:00:28,670 --> 00:00:31,310 segurtasun enpresa zerbitzatzen Columbia bankuak ere. 9 00:00:31,310 --> 00:00:34,740 Hori da, batez ere, bertan ikasi nuen dut zer, orain arte ikasi. 10 00:00:34,740 --> 00:00:37,990 >> Eta, beraz, material hori gara batzuk gaur egun baino gehiago joan da joan, ez dugu 11 00:00:37,990 --> 00:00:39,670 benetan hitz egin buruz klasean. 12 00:00:39,670 --> 00:00:40,410 Baina laster egingo dugu. 13 00:00:40,410 --> 00:00:42,360 Honez SQL, Javascript bezala izango da. 14 00:00:42,360 --> 00:00:44,870 Eta ez dugu benetan baino gehiago desagertu. 15 00:00:44,870 --> 00:00:47,730 Beraz, hegaldiaren dezadan ordenatzeko horren bidez, eta agian ez duzu gauza batzuk ezagutzen. 16 00:00:47,730 --> 00:00:48,890 Baina laster, bertan ikasiko duzu. 17 00:00:48,890 --> 00:00:52,080 Eta guztia egingo du zentzurik. 18 00:00:52,080 --> 00:00:54,010 Halaber, beste gauza bat - 19 00:00:54,010 --> 00:00:55,780 lo etikoak. 20 00:00:55,780 --> 00:01:00,560 Ikasten duzun gauza batzuk, zuk litezke modu ez etikoak erabiltzeko. 21 00:01:00,560 --> 00:01:01,950 >> Zurea bada, behin betiko saiatu. 22 00:01:01,950 --> 00:01:04,500 Zalantzarik motibatzea dut you guys Zure zerbitzarien propioa saiatu, saiatu 23 00:01:04,500 --> 00:01:05,519 Horien barruan. 24 00:01:05,519 --> 00:01:08,500 Ikusiko duzu horiek barneratzeko bada, horien barruan lortu ahal izango duzu. 25 00:01:08,500 --> 00:01:09,560 Baina ez du inork egin. 26 00:01:09,560 --> 00:01:12,390 Polizia ez benetan txantxak gustatzen eta osoa, hau jarri dugu hemen. 27 00:01:12,390 --> 00:01:14,040 Inguruan aldatzeari ginen. 28 00:01:14,040 --> 00:01:15,780 Benetan haserretu dute. 29 00:01:15,780 --> 00:01:18,700 >> Beraz buru Webgune honetara. 30 00:01:18,700 --> 00:01:23,560 Hementxe ireki behar dut. 31 00:01:23,560 --> 00:01:26,780 Hau webgune bat da, eta horri Adibide mordo bat dauka. 32 00:01:26,780 --> 00:01:30,000 Zer gertatzen da lehen adibidea sort asko errazagoa izango da 33 00:01:30,000 --> 00:01:33,470 zentzu batean azken adibidea baino duten lehen adibidea 34 00:01:33,470 --> 00:01:34,970 erabat segurua ez da. 35 00:01:34,970 --> 00:01:40,850 Eta azkena moduko zer da web segurtasun normal pertsona egingo lukeen. 36 00:01:40,850 --> 00:01:42,760 Baina oraindik ordenatu ahal duzun dela mugitu. 37 00:01:42,760 --> 00:01:44,860 Eta bat bideratua goaz eta bi, adibide bat eta bi. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> Ados. 40 00:01:49,920 --> 00:01:52,780 Hasteko cross-site scripting Dezagun. 41 00:01:52,780 --> 00:01:56,100 Ikusteko Javascript-a exekutatu dagoenean bezeroaren nabigatzailean. 42 00:01:56,100 --> 00:01:59,980 Da erabiltzen duzun programazio hizkuntza bat da izateko bezeroaren nabigatzaileak abar run 43 00:01:59,980 --> 00:02:04,120 ez duzu web eguneratzeko eta joan zerbitzariari bizkarrean. 44 00:02:04,120 --> 00:02:04,940 Exekutatzen duzu. 45 00:02:04,940 --> 00:02:08,870 Adibidez, Facebook, ez duzu Estatus berrirako webgunean birkargatu 46 00:02:08,870 --> 00:02:09,710 eguneratzerik etorri. 47 00:02:09,710 --> 00:02:12,170 Ikusteko Javascript-a da erabiliz sortu gauza horiek guztiak. 48 00:02:12,170 --> 00:02:16,290 Beraz, injektatu ahal izango dugu, asmo txarreko JavaScript webgune sartu. 49 00:02:16,290 --> 00:02:20,890 Eta, era horretan, esteka bat bidaliko dugu Norbaitek, ordenatzeko genezake bidali berarekin 50 00:02:20,890 --> 00:02:23,050 nahi dugun kodearen batzuk. 51 00:02:23,050 --> 00:02:26,450 >> Ez dago iraunkorrak eta ez-iraunkorrak Ikusteko Javascript-a - 52 00:02:26,450 --> 00:02:30,640 iraunkorrak eta ez iraunkorrak gurutze-gune scripting, esan nahi dut. 53 00:02:30,640 --> 00:02:33,760 Eta diferentzia iraunkor duten izatearen Ikusteko Javascript-a izango da da 54 00:02:33,760 --> 00:02:36,060 web orrian gorde. 55 00:02:36,060 --> 00:02:39,780 Eta ez-iraunkorrak JavaScript izango da benetan gertatuko behin. 56 00:02:39,780 --> 00:02:41,795 Hargatik adibide bat bilatzeko benetako azkar. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> Ados. 59 00:02:46,130 --> 00:02:51,620 Beraz, web orri honetan, simple, ez da ezer gertatzen hemen. 60 00:02:51,620 --> 00:02:53,070 Eta ari gara saiatzen joan txertatzeko JavaScript batzuk. 61 00:02:53,070 --> 00:02:58,110 Beraz, modu idazten hasi egiten dugu JavaScript da hasten hasieran gidoi dugu. 62 00:02:58,110 --> 00:03:00,570 Eta itxi dugu gidoi batekin. 63 00:03:00,570 --> 00:03:03,770 Besterik gabe ari gara Mezu bat jarri nahi dut - 64 00:03:03,770 --> 00:03:05,410 Erakutsi dut - 65 00:03:05,410 --> 00:03:06,500 Alerta. 66 00:03:06,500 --> 00:03:11,150 Alerta funtzio bat dela JavaScript zerbait erakusteko erabiltzen duen. 67 00:03:11,150 --> 00:03:12,400 Beraz dezagun saiatuko benetako azkar. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Dut alerta kaixo joango gara,. 70 00:03:18,944 --> 00:03:20,400 Beno, jarri ahaztu dut - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 Ados. 73 00:03:25,460 --> 00:03:26,540 Beraz, hori da erraza. 74 00:03:26,540 --> 00:03:28,730 >> Ikusteko Javascript-a jarri dugu web orri baten gainean, eta sortu da etorri. 75 00:03:28,730 --> 00:03:31,200 Eta hura ordenatzeko bakarrik gertatzen Gure web orrian, ezta? 76 00:03:31,200 --> 00:03:33,040 Beraz, badirudi ez bezala arazo bat, ezta? 77 00:03:33,040 --> 00:03:34,920 Esan nahi dut, nola izan erabiltzen duzun honen asmo txarrez? 78 00:03:34,920 --> 00:03:39,930 Beraz, modu hacker hori egin hau oso sinplea da. 79 00:03:39,930 --> 00:03:40,970 Hura hartzen ari dira. 80 00:03:40,970 --> 00:03:43,750 Lotura hau bidali ahal dizute. 81 00:03:43,750 --> 00:03:46,780 Bidaltzen bada dut esteka honetan duzu oraintxe bertan, eta beraz, ireki duzu, nik joan behar 82 00:03:46,780 --> 00:03:51,620 esateko, kaixo, esanez nire web dagoela diozu kaixo. 83 00:03:51,620 --> 00:03:57,280 >> Eta, beraz, zerbait esateko banintz Pixka smarter, tira badut bat 84 00:03:57,280 --> 00:03:59,880 JavaScript funtzio mota I dagoeneko idatzi - 85 00:03:59,880 --> 00:04:03,940 baina begiratzen baduzu ere, egingo dut joan gehiagoko hura idatzi nuen aurretik. 86 00:04:03,940 --> 00:04:06,650 Beraz, denbora-muga bat ezarri nahi du. 87 00:04:06,650 --> 00:04:08,450 Arte itxaron goaz Pare bat segundo. 88 00:04:08,450 --> 00:04:13,970 Izan ere, itxaron goaz, bada Ez dut oker, bost segundora. 89 00:04:13,970 --> 00:04:15,870 Hau milisegundotan doa. 90 00:04:15,870 --> 00:04:18,640 Eta gero, zer egin behar dugu, ez gara egiteko ohartarazi egingo duten saio-hasiera 91 00:04:18,640 --> 00:04:21,459 denboraz kanpo berriz sartzeko sartu 92 00:04:21,459 --> 00:04:23,990 Eta ari gara kokapena aldatuko beste kokaleku batean. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Beraz, web orri hau bidali dut norbait bada, izan ari dira joan 95 00:04:32,970 --> 00:04:34,380 inguruan arakatuz, lasaia. 96 00:04:34,380 --> 00:04:35,650 Ezer ez gertatzen. 97 00:04:35,650 --> 00:04:38,550 Eta bost segundotan, joan da beharrik ez, zure saio denboraz kanpo. 98 00:04:38,550 --> 00:04:40,200 Mesedez sartu berriz sartu 99 00:04:40,200 --> 00:04:43,400 Behin sakatu dute OK, noa joan eraman beste web batekin. 100 00:04:43,400 --> 00:04:45,980 Ustezko, webgunean joan den webgunearen antzekoa izango duten 101 00:04:45,980 --> 00:04:47,280 lehenago hasi ziren. 102 00:04:47,280 --> 00:04:50,770 Eta ari dira saioa gertatzen beren nire webgunean ordez sartu kredentzialak 103 00:04:50,770 --> 00:04:51,850 beren webgunean. 104 00:04:51,850 --> 00:04:54,780 >> Eta horrela dut pertsona bat bidali ahal link honekin email. 105 00:04:54,780 --> 00:04:56,240 , Esan dut, oh, hemen lotura bat da. 106 00:04:56,240 --> 00:04:57,290 Hau banku bat da, adibidez. 107 00:04:57,290 --> 00:05:01,390 , Esan dut hemen, esteka honetan joan. 108 00:05:01,390 --> 00:05:03,730 Eta behin bidaliko dira, ari dira be inguruan arakatuz joan. 109 00:05:03,730 --> 00:05:07,560 15 segundo, 20 segundo, ezin dut itxaron, eta ondoren, pop mesedez sartu berriz berez 110 00:05:07,560 --> 00:05:08,840 sinatzeko bizkarrean. 111 00:05:08,840 --> 00:05:10,120 Zaudete bertan dastatu ahal izango dituzten gauza asko gehiago. 112 00:05:10,120 --> 00:05:13,190 Honez konplikatu you guys delako ez dute ikusi JavaScript, beraz dezakezu 113 00:05:13,190 --> 00:05:14,750 ez funtzio batzuk ezagutu. 114 00:05:14,750 --> 00:05:18,625 Baina guztiak egin behar duzun da Irteeran gidoi batekin, gidoia bukatzen. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 Eta ezer jarri ahal izango duzu erdian. 117 00:05:25,510 --> 00:05:27,350 >> Alerta funtzio bat da, itxaron. 118 00:05:27,350 --> 00:05:29,365 Leiho kokapena zaitu kokaleku berri bat. 119 00:05:29,365 --> 00:05:31,370 Baina askoz gehiago egin dezakezu, beraz. 120 00:05:31,370 --> 00:05:32,630 Eta, beraz, ideia hau da hori hartuko dugu off. 121 00:05:32,630 --> 00:05:39,350 Joaten naiz bi adibide nahi izanez gero, eta nik kode hori bera jarri, hura da 122 00:05:39,350 --> 00:05:40,210 ez da lanera joan. 123 00:05:40,210 --> 00:05:43,620 Beraz, guztia inprimatzeko it out delako Web gune honetan zer jatorriz 124 00:05:43,620 --> 00:05:50,350 ez da ezer jarri dut hemen, inprimatu egingo itzazu hemen. 125 00:05:50,350 --> 00:05:52,390 Beraz, ez da ezer inprimatzeko. 126 00:05:52,390 --> 00:05:55,560 Adibide honetan benetan egiaztapena script bada ez ikusteko. 127 00:05:55,560 --> 00:05:57,163 Beraz, bai, aurrera. 128 00:05:57,163 --> 00:05:57,606 Galdetu. 129 00:05:57,606 --> 00:05:59,560 >> AUDIENCE: Ezta bidaltzea bat lortzeko edo bidaltzeko eskaera? 130 00:05:59,560 --> 00:06:00,670 >> LUCIANO ARANGO: Bai. Oraindik dute get eskaera bat bidaliz. 131 00:06:00,670 --> 00:06:01,350 >> AUDIENCE: Da? 132 00:06:01,350 --> 00:06:02,490 >> LUCIANO ARANGO: Bai. 133 00:06:02,490 --> 00:06:04,030 Halaber nabigatzaile post eskaerak erabili. 134 00:06:04,030 --> 00:06:07,470 Baina get eskaerak erakusten saiatzen ari naiz beraz, zer den ikusi ahal izango dugu 135 00:06:07,470 --> 00:06:10,760 benetan gertatzen ari da. 136 00:06:10,760 --> 00:06:12,880 Eta horrela begiratzen dugu kode hau bada - beraz, ez da jada lanean. 137 00:06:12,880 --> 00:06:24,870 Eta kode honetan begirada bat hartzen badugu, nik bi adibide izango da. 138 00:06:24,870 --> 00:06:29,300 Zer pertsona hori egiten ari da, pertsonaren nabigatzaileak horren arduradunak - 139 00:06:29,300 --> 00:06:35,370 ireki, OK - 140 00:06:35,370 --> 00:06:39,290 hitza gidoia ordezkatuz. 141 00:06:39,290 --> 00:06:42,850 Hau PHP da, eta horrek asko guys agian ikusi dute pixka bat oraindik. 142 00:06:42,850 --> 00:06:46,250 >> Baina besterik ez ordez Hitz izenarekin gidoi. 143 00:06:46,250 --> 00:06:50,895 Beraz, hala ere, aurretik joan badut eta besterik jarri - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 hartzen badut nire kodea berriro, eta noa da pixka bat aldatzeko. 146 00:07:02,360 --> 00:07:15,010 Gidoiaren ordez, naiz aldatu egingo dut kapital bat R. Eta batera Script 147 00:07:15,010 --> 00:07:16,390 kode honetan lan egiten bada ikusteko goaz. 148 00:07:16,390 --> 00:07:19,090 Beraz, ez da inprimatu, eta hori seinale ona da. 149 00:07:19,090 --> 00:07:21,990 Eta, zorionez, bi segundo gehiago, Da agertuko da joan. 150 00:07:21,990 --> 00:07:22,820 >> Zure saio denboraz kanpo. 151 00:07:22,820 --> 00:07:23,210 Ados. 152 00:07:23,210 --> 00:07:24,460 Hori da dena eskubidea. 153 00:07:24,460 --> 00:07:27,670 Beraz, gidoi egiaztapena agian ez du zertan lan egin. 154 00:07:27,670 --> 00:07:28,130 Pertsona - 155 00:07:28,130 --> 00:07:32,290 daiteke ere gidoi maiuskulaz egiaztatu, gidoi minuskulaz, str kasu 156 00:07:32,290 --> 00:07:34,180 alderatu, ziurtatu bera ari dira. 157 00:07:34,180 --> 00:07:38,480 Baina hacker oraindik ere egin daiteke, zer moduko egin Vigenere in dugunean mugitu dugu 158 00:07:38,480 --> 00:07:40,620 itzuli pare bat pertsonaiak, aurrera. 159 00:07:40,620 --> 00:07:43,470 Eta irudikatu ezazu gidoi nola jarri atzera so injektatu daiteke bertan 160 00:07:43,470 --> 00:07:44,460 script hori. 161 00:07:44,460 --> 00:07:50,370 >> Beraz, zein erabili nahi duzun htmlspecialchars da 162 00:07:50,370 --> 00:07:51,330 Zure web babesteko. 163 00:07:51,330 --> 00:07:56,490 Eta hau ez da egiten zer jarri duzun ziur - 164 00:07:56,490 --> 00:07:59,610 adibidez, aipuak edo honen - baino baino handiagoa edo gutxiago 165 00:07:59,610 --> 00:08:04,701 zerbait ordezkatu hori ez dela - 166 00:08:04,701 --> 00:08:05,951 utzi hemen gerturatzeko me - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 Benetako ampersand. 169 00:08:09,685 --> 00:08:13,420 HTML berezi horiek ordeztu egingo du duten ikusiko dugu eta gara pertsonaiak 170 00:08:13,420 --> 00:08:14,670 buruz hitz egiten - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 oh, hau da niretzat hartu atzera egingo - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 Pertsonaia horiek hemen. 175 00:08:25,380 --> 00:08:28,180 >> Horiek adierazten duten zerbait da datozen. 176 00:08:28,180 --> 00:08:31,570 HTML, hasieratik parentesi horretarako kontatzen digu zerbait 177 00:08:31,570 --> 00:08:33,299 HTML erlazionatutako coming. 178 00:08:33,299 --> 00:08:33,980 Eta hori kendu nahi dugu. 179 00:08:33,980 --> 00:08:36,200 Ez dugu HTML jarri bat sartu nahi website.k Ez dugu nahi erabiltzaileari izango 180 00:08:36,200 --> 00:08:40,260 zerbait jarri dute euren webgunean gai beren web eragina izan dezake, atsegin 181 00:08:40,260 --> 00:08:43,480 gidoi edo HTML edo horrelako zerbait. 182 00:08:43,480 --> 00:08:53,090 Zer da garrantzitsua da duzula sanitize erabiltzailearen sarrera. 183 00:08:53,090 --> 00:08:54,720 >> Beraz, erabiltzaileek may sarrera gauza askotan. 184 00:08:54,720 --> 00:08:58,110 Sarrera stuff sorta bat saiatu, ahal zuen Zure nabigatzaileak engainatu oraindik sartu 185 00:08:58,110 --> 00:08:59,410 gidoi kode hau martxan. 186 00:08:59,410 --> 00:09:02,870 Zer egin nahi duzun ez da bakarrik itxura gidoi, baina dena bilatzeko 187 00:09:02,870 --> 00:09:04,250 maltzurren izan daiteke. 188 00:09:04,250 --> 00:09:06,800 Eta htmlspecialchars egingo duten beraz zuk ez duzu 189 00:09:06,800 --> 00:09:07,340 kezkatu. 190 00:09:07,340 --> 00:09:12,280 Baina ez saiatu egin bakarrik Sort propioak kodearekin. 191 00:09:12,280 --> 00:09:14,055 Denek XSS on argi dago? 192 00:09:14,055 --> 00:09:14,370 >> Ados. 193 00:09:14,370 --> 00:09:16,355 Goazen SQL injekzio en. 194 00:09:16,355 --> 00:09:21,010 Beraz SQL injekzio da seguruenik ahultasun zenbaki bat 195 00:09:21,010 --> 00:09:22,490 webgune ezberdinetan. 196 00:09:22,490 --> 00:09:24,350 Esan nahi dut, adibide ona - 197 00:09:24,350 --> 00:09:27,350 I besterik ez zuten jotzeko ikertzen Gauza honetarako. 198 00:09:27,350 --> 00:09:34,430 Eta awesome artikulu hau aurkitu dut non Harvard duten urratu zen ikusi nuen, 199 00:09:34,430 --> 00:09:35,390 hacked. 200 00:09:35,390 --> 00:09:37,370 Eta, galdetzen ari nintzen, bai, nola egingo dute? 201 00:09:37,370 --> 00:09:41,660 Harvard da gehien awesome da, gehienetan ziurtatzeko unibertsitatea inoiz. 202 00:09:41,660 --> 00:09:43,850 Ezta? 203 00:09:43,850 --> 00:09:45,410 Beno, zerbitzariak urratzen, hacker erabiltzen a 204 00:09:45,410 --> 00:09:47,710 Teknika SQL injekzio deritzo. 205 00:09:47,710 --> 00:09:50,250 >> Beraz, hau egunez egun batean gertatzen da. 206 00:09:50,250 --> 00:09:53,590 Jendeak ahaztu kontuan hartzeko SQL injekzio jartzeko. 207 00:09:53,590 --> 00:09:54,930 Harvard du. 208 00:09:54,930 --> 00:10:00,050 Hemen dio, Princeton, uste dut, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Beraz, nola egiten dugu - beraz, zer SQL hau da injekzio hori jarriz horiek guztiak 210 00:10:03,550 --> 00:10:05,668 Jende behera? 211 00:10:05,668 --> 00:10:08,010 Ados. 212 00:10:08,010 --> 00:10:12,090 Beraz SQL programazio hizkuntza bat da hori datu-base sartzeko erabiltzen dugu. 213 00:10:12,090 --> 00:10:14,560 Zer egiten dugu hautatu dugu - 214 00:10:14,560 --> 00:10:18,510 beraz, zer hau, oraintxe bertan irakurtzen da hautatu mahai guztia. 215 00:10:18,510 --> 00:10:22,640 >> SQL, aldatzen datu-base horietan sartu da duten informazio osoa mahaiak dituzte. 216 00:10:22,640 --> 00:10:26,550 Beraz hautatu guztia erabiltzaileen non izena username da. 217 00:10:26,550 --> 00:10:28,120 Ezta? 218 00:10:28,120 --> 00:10:30,770 Simple nahikoa. 219 00:10:30,770 --> 00:10:34,490 SQL injekzio ideia da dugun kode mingarria batzuk txertatu zela 220 00:10:34,490 --> 00:10:37,270 engainatu zerbitzariari zerbait exekutatzen sartu zer baino desberdina 221 00:10:37,270 --> 00:10:38,430 jatorriz exekutatzen zen. 222 00:10:38,430 --> 00:10:44,970 Beraz, demagun erabiltzaile izena, jarri dugu edo 1 berdin 1. 223 00:10:44,970 --> 00:10:46,700 Beraz jarri dugu edo 1 berdin 1. 224 00:10:46,700 --> 00:10:49,890 Bide batez, orain irakurriko luke hautatu izango da erabiltzaileek, dena aurrera 225 00:10:49,890 --> 00:10:51,360 erabiltzaile - hau dena da - 226 00:10:51,360 --> 00:10:55,880 non izen username da, baina Erabiltzaile izen da edo 1 berdin 1. 227 00:10:55,880 --> 00:11:01,760 >> Beraz, ezer ez da izen edo 1 berdin 1. 228 00:11:01,760 --> 00:11:04,060 1 berdinen 1 beti da egia. 229 00:11:04,060 --> 00:11:07,690 Beraz, hau izango da beti informazio itzultzeko Erabiltzaile hauei. 230 00:11:07,690 --> 00:11:08,100 Ados. 231 00:11:08,100 --> 00:11:10,030 Ez dugu behar behar du erabiltzaile-izen zuzena. 232 00:11:10,030 --> 00:11:14,240 Besterik ez dugu ezer nahi dugun, eta informazioa emango du 233 00:11:14,240 --> 00:11:15,690 behar ditugu. 234 00:11:15,690 --> 00:11:17,160 Dezagun beste adibide bat dira. 235 00:11:17,160 --> 00:11:22,720 >> Dena hautatu dugu bada erabiltzaileari, non izen DROP TABLE erabiltzaile da - 236 00:11:22,720 --> 00:11:26,420 beraz, zer uste duzu borondate hau egin dut jarri erabiltzaile-izen batean bada 237 00:11:26,420 --> 00:11:29,560 DROP TABLE erabiltzaile gisa? 238 00:11:29,560 --> 00:11:30,230 Inor ideia bat? 239 00:11:30,230 --> 00:11:31,050 Bai. 240 00:11:31,050 --> 00:11:32,470 >> AUDIENCE: Honez kontatzeko joan mahai guztiak irauli da. 241 00:11:32,470 --> 00:11:35,460 >> LUCIANO ARANGO: Honez digute joan Webgunean guztia irauli, 242 00:11:35,460 --> 00:11:38,290 basean guztia. 243 00:11:38,290 --> 00:11:41,910 Eta jendeak erabiltzeko honetan - beraz You guys erakusteko noa. 244 00:11:41,910 --> 00:11:45,462 Taulak jaregiten desgaituta dut delako ez dut nahi duzu 245 00:11:45,462 --> 00:11:48,240 guys nire taulak askatu. 246 00:11:48,240 --> 00:11:49,850 Ikus dezagun begirada bat. 247 00:11:49,850 --> 00:11:54,410 Beraz, hau, besterik gabe, informazio tira sortu jakin bat pertsona. 248 00:11:54,410 --> 00:11:57,550 Beraz, nola ez badakigu hau bada Kaltetutako SQL injekzio bidez. 249 00:11:57,550 --> 00:12:01,545 Benetako azkar check goaz dugu zerbait jarri ahal izanez gero - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 utzi kode hau kopiatu zidan. 252 00:12:06,080 --> 00:12:08,140 Bigarren batean gainean joan noa. 253 00:12:08,140 --> 00:12:12,210 Erroa jarri noa eta 1 berdin 1. 254 00:12:12,210 --> 00:12:15,510 >> Hau hemen, hau ehuneko zeinu 23 - 255 00:12:15,510 --> 00:12:19,970 da benetan zer den, badut hementxe begiratu at - 256 00:12:19,970 --> 00:12:23,820 Bide HTML zenbakiak hartzen du, zuk denean jarri dut espazio batean begirada bat hartu 257 00:12:23,820 --> 00:12:28,380 Hemen - ziren I espazioa zerbait bada Hemen, hura aldatzen da ehuneko 2. 258 00:12:28,380 --> 00:12:31,420 Do you guys ikusi hau hementxe denean jarri dut espazio batean? 259 00:12:31,420 --> 00:12:36,710 Horrela funtzionatzen da soilik duzula ASCII balioak bidali HTML bidez. 260 00:12:36,710 --> 00:12:40,330 Beraz ordezkatzen du, adibidez, 20 ehuneko dituzten espazio bat. 261 00:12:40,330 --> 00:12:41,970 Ez dakit baduzu guys ikusi dute horren aurretik. 262 00:12:41,970 --> 00:12:45,100 >> Ehuneko 23 batekin hashtag bat ordezkatzen du. 263 00:12:45,100 --> 00:12:50,840 Hashtag bat behar dugu amaieran edo, adierazpena da, beraz, esan ahal dugu 264 00:12:50,840 --> 00:13:00,885 database ahaztu itzazu iruzkinak egiteko amaieran azken puntu eta koma hau. 265 00:13:00,885 --> 00:13:03,060 Hura ez dela pentsatu nahi dugu. 266 00:13:03,060 --> 00:13:05,980 Besterik ez dena exekutatu nahi dugu aldez aurretik dugula eta 267 00:13:05,980 --> 00:13:07,450 iruzkin hori. 268 00:13:07,450 --> 00:13:08,710 Ikus dezagun begirada bat. 269 00:13:08,710 --> 00:13:14,670 >> Beraz, zerbait gaizki jarri banintz - demagun adibidez, 2 berdinen jarri dut 270 00:13:14,670 --> 00:13:15,690 1, ez du ematen dit ezer. 271 00:13:15,690 --> 00:13:22,930 Noiz jarri dut 1 in berdin 1, eta gertatzen zerbait itzultzeko, hau esaten dit 272 00:13:22,930 --> 00:13:24,660 hau da zaurgarria SQL injekzio bat. 273 00:13:24,660 --> 00:13:29,090 Gaur egun ezagutzen dut hori edozein dela ere Jarri honen ondoren I - 274 00:13:29,090 --> 00:13:39,110 eta adibidez, DROP TAULAK edo horrelako zerbait 275 00:13:39,110 --> 00:13:41,190 behin betiko egingo du lan. 276 00:13:41,190 --> 00:13:44,350 Badakit SQL injekzio zaurgarria da Badakit hori delako 277 00:13:44,350 --> 00:13:49,850 kanpaia azpian, izan dezazun ezazu egin dit 1 berdinen 1 gauza. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> Eta begiratzen dugu beste hauek kontuan hartuz gero, kopurua bi eta hiru zenbaki, ez da 281 00:13:56,540 --> 00:13:59,110 pixka bat gehiago egin da joan egiaztapena azpian 282 00:13:59,110 --> 00:14:03,680 zer den kanpaia. 283 00:14:03,680 --> 00:14:07,425 Beraz, edonork beherakada gaitu ezer oraindik edo saiatu? 284 00:14:07,425 --> 00:14:08,760 Ez duzu guys moduko lortu SQL oraindik? 285 00:14:08,760 --> 00:14:10,430 Dakit zeren asko guys ez dute oraindik ikusi da, beraz, mota horretako da 286 00:14:10,430 --> 00:14:11,759 you guys nahasgarria. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Ikus dezagun begirada bat. 289 00:14:18,480 --> 00:14:21,270 Beraz, zein da bidea SQLI saihesteko? 290 00:14:21,270 --> 00:14:21,390 Ados. 291 00:14:21,390 --> 00:14:23,330 Beraz, hau da benetan garrantzitsua duzulako guys betiko debekatu nahi 292 00:14:23,330 --> 00:14:24,090 Kokapen hau zure web. 293 00:14:24,090 --> 00:14:28,040 >> Hala ez bada, zure lagun guztiak daude joan denean guztiak askatu dute barre egiteko duzun 294 00:14:28,040 --> 00:14:29,390 Zure mahaiak. 295 00:14:29,390 --> 00:14:36,150 Beraz, ideia da SQL konpondu duzula modu jakin batean, dator berriz 296 00:14:36,150 --> 00:14:41,940 zer Erabiltzaileak dituzten input kate jakin bat. 297 00:14:41,940 --> 00:14:46,120 Beraz, obra hau da zuk datu-basea prestatzen. 298 00:14:46,120 --> 00:14:50,830 Izena, kolorea eta kaloria hautatzean fruta izeneko datu-base batetik. 299 00:14:50,830 --> 00:14:53,580 Eta gero non kaloria baino txikiagoa da; eta galdera-marka bat jarri dugu bertan 300 00:14:53,580 --> 00:14:56,530 sarrera goaz esanez bigarren batean zerbait. 301 00:14:56,530 --> 00:14:58,850 >> Eta kolore berdin, eta galdera bat jarri dugu marka esaten goaz joan 302 00:14:58,850 --> 00:15:00,913 sarrera bigarren batean zerbait baita. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 Eta, ondoren, hura exekutatzeko dugu, jarriz 150 eta gorriz. 305 00:15:09,920 --> 00:15:12,820 Eta hau egin arakatuko ditu Ziur bi horiek - 306 00:15:12,820 --> 00:15:15,300 array honek egiaztatu egingo duten horiek bi zenbaki oso bat, eta are 307 00:15:15,300 --> 00:15:16,550 hori katea da. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Ondoren, joan gara eta eskuratu dugu guztiak, jarri dugu gorriz. 310 00:15:20,890 --> 00:15:21,964 Esan nahi duen guztia eskuratu dugu. 311 00:15:21,964 --> 00:15:26,790 Esan nahi du benetan SQL exekutatu dugu adierazpen eta jarri back gorriz. 312 00:15:26,790 --> 00:15:30,530 Hemen bera egiten dugu, baina ez dugu bera egin horia da. 313 00:15:30,530 --> 00:15:32,490 Eta guztiak eskuratu dugu. 314 00:15:32,490 --> 00:15:36,140 >> Eta modu horretan, erabiltzaileak saihesteko dugu sarrerako zerbait gai izatetik 315 00:15:36,140 --> 00:15:41,710 hori ez da zer egiten dugun zehaztu, katea edo zenbaki oso bat, adibidez. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Lehenago aipatzen ari nintzen besteen konfiantza. 318 00:15:46,610 --> 00:15:50,010 When you guys zure proiektua hasteko, zu behin betiko erabili joan 319 00:15:50,010 --> 00:15:52,310 bootstrap edo antzeko zerbait. 320 00:15:52,310 --> 00:15:53,490 Duzu guys inoiz erabili Wordpress? 321 00:15:53,490 --> 00:15:57,170 Seguruenik duzu guys erabili dute Wordpress ziurrenik. 322 00:15:57,170 --> 00:16:00,050 Beraz erabiliz arazoa besteen gauzak - 323 00:16:00,050 --> 00:16:05,940 Besterik ez naiz Google benetako azkar joan Wordpress ahultasun. 324 00:16:05,940 --> 00:16:07,495 >> Hau zabaltzen dut bada oraintxe bertan - 325 00:16:07,495 --> 00:16:08,995 Literalki bat bigarren bi Google nuen. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Ikusten den Wordpress duten - 328 00:16:13,800 --> 00:16:17,450 hau da irailaren '12 bezala datatua. 329 00:16:17,450 --> 00:16:19,120 26 eguneratzen da. 330 00:16:19,120 --> 00:16:23,620 Wordpress konfigurazio lehenetsia lehenago 3,6 ez du horiek 331 00:16:23,620 --> 00:16:27,110 zenbait igoerak, eta horrek agian errazagoa da 332 00:16:27,110 --> 00:16:29,790 cross-site scripting erasoak. 333 00:16:29,790 --> 00:16:34,530 Beraz, istorio azkar bat, behin lanean ari ginen batera -, beraz, izan dut udan, bat lanean 334 00:16:34,530 --> 00:16:34,970 praktikak. 335 00:16:34,970 --> 00:16:40,400 Eta moduko batekin ari ginen lanean kreditu txartelaren big enpresa bat bezala. 336 00:16:40,400 --> 00:16:42,020 >> Eta fidatu zerbait deitzen dute - 337 00:16:42,020 --> 00:16:45,740 Ez dakit asko guys inoiz jokatu bada Joomla izeneko produktu batekin. 338 00:16:45,740 --> 00:16:51,750 Joomla erabiltzen den produktu bat kontrol - moduko antzeko 339 00:16:51,750 --> 00:16:54,340 Wordpress, webgune eraikitzeko erabiltzen. 340 00:16:54,340 --> 00:16:56,060 Beraz, bere web-orria izan zuten Joomla lanean. 341 00:16:56,060 --> 00:16:59,290 Hau da, benetan, kreditu-txartel bat Kolonbian konpainiak. 342 00:16:59,290 --> 00:17:01,000 Hartuko dut zuk beren Webgune benetako azkar. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Beraz Joomla erabiltzen dute. 345 00:17:05,400 --> 00:17:08,630 Eta ez zuten eguneratu Joomla azken gain izateko. 346 00:17:08,630 --> 00:17:12,160 Eta beraz, noiz begirada bat hartu gintuzten bere kodea, benetan gai izan ginen 347 00:17:12,160 --> 00:17:18,430 Bere kodearen barruan daude eta lapurtzen guztiak kreditu txartelaren informazioa izan dutela, 348 00:17:18,430 --> 00:17:21,670 kreditu txartelaren zenbaki, izenak, helbideak. 349 00:17:21,670 --> 00:17:22,740 Eta hau besterik ez zen - 350 00:17:22,740 --> 00:17:23,569 eta bere kodea primeran fina zen. 351 00:17:23,569 --> 00:17:24,710 Kode handia izan zuten. 352 00:17:24,710 --> 00:17:25,389 Segurtasun guztia izan zen. 353 00:17:25,389 --> 00:17:26,520 Datu-base guztietan egiaztatuko dute. 354 00:17:26,520 --> 00:17:29,020 Ziur gurutze-gunean egin dute scripting fina zen. 355 00:17:29,020 --> 00:17:34,390 >> Baina zerbait ez zela erabiltzen dute eguneratzen, hori ez zen segurua. 356 00:17:34,390 --> 00:17:36,940 Eta beraz, horrek ekarri zien -, beraz, you guys dira, zalantzarik beste erabili joan 357 00:17:36,940 --> 00:17:40,650 Jendearen kodea, besteen esparru eraikitzeko zure webgunean. 358 00:17:40,650 --> 00:17:43,860 Ziurtatu seguru Oraindik dutela delako batzuetan ez da zuk, dena 359 00:17:43,860 --> 00:17:44,480 akatsen bat egiten. 360 00:17:44,480 --> 00:17:47,440 Baina norbaitek akatsen bat egiten, eta gero behera erori duzu delako hori. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Pasahitzak eta PII. 363 00:17:53,885 --> 00:17:56,820 Beraz, pasahitzak. 364 00:17:56,820 --> 00:17:58,070 Ados. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Dezagun pasahitzak begirada bat benetako azkar. 367 00:18:04,230 --> 00:18:04,590 Ados. 368 00:18:04,590 --> 00:18:06,520 Esadazu guztiontzat erabiltzen seguru - 369 00:18:06,520 --> 00:18:09,030 Guztiontzat hemen espero dut pasahitzak seguruak erabiltzen ditu. 370 00:18:09,030 --> 00:18:12,890 Besterik ez naiz uzteko duen hipotesi gisa. 371 00:18:12,890 --> 00:18:14,850 Beraz, you guys dira behin betiko joan gordetzeko pasahitzak zure webgune. 372 00:18:14,850 --> 00:18:17,440 Antzeko zerbait egiten ari zara login bat edo horrelako zerbait. 373 00:18:17,440 --> 00:18:19,610 Zer da garrantzitsua da ez gordetzeko testu arruntean pasahitzak. 374 00:18:19,610 --> 00:18:20,860 Hau oso garrantzitsua da. 375 00:18:20,860 --> 00:18:23,960 Ez duzu gorde nahi bat testu arruntean pasahitza. 376 00:18:23,960 --> 00:18:27,370 >> Eta ez behin betiko ez benetan nahi gordetzeko modu hash en. 377 00:18:27,370 --> 00:18:32,440 Beraz, zer modu hash dela duzunean hitz bat sortzen denean, hau jarri duzu 378 00:18:32,440 --> 00:18:36,200 hash funtzio bat sartu hitza, izango da kriptikoaren nolabaiteko sortzen atzera 379 00:18:36,200 --> 00:18:39,390 Mezu edo kriptikoak gako multzo. 380 00:18:39,390 --> 00:18:40,640 Erakutsi dut adibide bat. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Dute hitza password1 egiaztatu noa. 383 00:18:50,250 --> 00:18:55,280 Beraz md5 Hash niri itzuli egingo da informazio bitxi nolabaiteko. 384 00:18:55,280 --> 00:18:59,140 >> Arazoa da jendeak ez out Hori gustatzen webgune sartu dute 385 00:18:59,140 --> 00:19:02,750 Dagoeneko hurrena moduko md5 egiaztapenekin guztien. 386 00:19:02,750 --> 00:19:06,030 Zer egin da eseri on izango dira ordenagailuak, eta behin hashed dute 387 00:19:06,030 --> 00:19:09,660 posible bakar hitza han arte Sort hori zer den lortu dute. 388 00:19:09,660 --> 00:19:11,420 Honen bila dezan banintz - 389 00:19:11,420 --> 00:19:12,420 Harrapatu nuen besterik hash hau. 390 00:19:12,420 --> 00:19:14,120 Hash hau lortzen badut etatik - 391 00:19:14,120 --> 00:19:17,470 joaten naiz, web orri bat sartu bada, eta iruditzen zait hash honetan lortu dut behar delako 392 00:19:17,470 --> 00:19:24,100 datu-baseak, eta begiratu dut, norbaitek Dagoeneko hurrena da niretzat. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Bai. 395 00:19:29,100 --> 00:19:35,030 Beraz, jendea eseri, eta edozein dela ere md5 hash horretan jarri duzu, ari dira joan den 396 00:19:35,030 --> 00:19:37,760 duzu itzultzeko zerbait duten hitz bat da. 397 00:19:37,760 --> 00:19:39,800 Beste hitz bat hash badut, bezala - 398 00:19:39,800 --> 00:19:42,410 Ez dakit - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Ez dut etsita izan nahi nire Google bilaketak eginda. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Hor dago, trees2. 403 00:19:52,780 --> 00:19:55,930 Beraz, webgune asko Oraindik ere md5 hash erabili. 404 00:19:55,930 --> 00:19:57,730 , Esaten dute oh, seguru da. 405 00:19:57,730 --> 00:19:58,570 Ez dugu testu arruntean gordetzeko. 406 00:19:58,570 --> 00:19:59,740 Md5 hash hau dugu. 407 00:19:59,740 --> 00:20:01,880 Eta guztiak egin behar dut besterik ez da Google zenbakia. 408 00:20:01,880 --> 00:20:03,940 >> Ez dut izan neure burua kalkulatzeko. 409 00:20:03,940 --> 00:20:06,790 I Just Google daiteke, eta norbaitek Dagoeneko egin niretzat. 410 00:20:06,790 --> 00:20:08,010 Hemen horietako sorta bat da. 411 00:20:08,010 --> 00:20:09,260 Hemen pasahitzak mordo bat da. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Beraz, behin betiko ez md5 hash erabili, delako guztiak izan behar dituzu 414 00:20:18,680 --> 00:20:19,140 egin Google da. 415 00:20:19,140 --> 00:20:20,390 Beraz, zer egin ordez erabili nahi al duzu? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 Ados. 418 00:20:30,170 --> 00:20:31,260 Zerbait gazitze deritzo. 419 00:20:31,260 --> 00:20:32,460 Beraz, zer gazitze da - 420 00:20:32,460 --> 00:20:36,280 gogoratzen duzu guys gure garaian ausazko buruz hitz egiten - 421 00:20:36,280 --> 00:20:37,920 Ez nago ziur zer pset zen - 422 00:20:37,920 --> 00:20:41,140 zen han pset da edo lau? 423 00:20:41,140 --> 00:20:45,150 >> Aurkitzeko buruz hitz egin genuen Lastategi batean orratza. 424 00:20:45,150 --> 00:20:48,480 Eta pset batean, esan ezin izan duzu benetan daki zer ausazko 425 00:20:48,480 --> 00:20:51,840 sortzen norbait dagoeneko ran ari delako ausazko milioi bat aldiz, eta besterik 426 00:20:51,840 --> 00:20:53,230 Sort osatzen dutena sortzeko. 427 00:20:53,230 --> 00:20:55,840 Zer egin nahi duzun da sarrera bat jarri. 428 00:20:55,840 --> 00:20:57,130 Beraz, zer salting moduko da. 429 00:20:57,130 --> 00:21:00,900 Dagoeneko hurrena dute zer salting lan bakoitzeko itzultzen. 430 00:21:00,900 --> 00:21:04,750 >> Beraz, zer gazitze ez da gatz bat jarri duzu. 431 00:21:04,750 --> 00:21:06,160 Jarri Hitz jakin bat duzu. 432 00:21:06,160 --> 00:21:09,720 Eta hitz hori egiaztatu egingo da arabera zer jarri duzu hemen. 433 00:21:09,720 --> 00:21:13,570 Beraz pasahitz bat hash dut honekin bada esaldia, nahi hash da joan 434 00:21:13,570 --> 00:21:17,180 password1 hash dut ezberdinean bada desberdinak esaldi batekin. 435 00:21:17,180 --> 00:21:21,670 Sort ematen du nonbait Egiaztapena noiz hasiko diren hasteko. 436 00:21:21,670 --> 00:21:25,970 Beraz, asko gogorragoa konputatu da, baina zuk Oraindik ere kalkula daiteke, batez ere 437 00:21:25,970 --> 00:21:26,830 gatza txar bat erabiltzen baduzu. 438 00:21:26,830 --> 00:21:29,650 >> Pertsona jadanik ere hurrena gatz eta hurrena komun 439 00:21:29,650 --> 00:21:31,500 zer den hori. 440 00:21:31,500 --> 00:21:34,980 Ausazko gatz askoz hobeak dira, baina modurik onena da erabili 441 00:21:34,980 --> 00:21:38,160 zerbait kriptan deritzo. 442 00:21:38,160 --> 00:21:40,480 Eta zer kriptan aukera ematen dizu do - beraz, funtzio horiek ez dira 443 00:21:40,480 --> 00:21:41,820 Dagoeneko zuretzat eraiki. 444 00:21:41,820 --> 00:21:44,910 Jende askok ahaztu duten, edo ahaztu dute erabili. 445 00:21:44,910 --> 00:21:54,520 Baina gora begiratzen dut kriptan PHP, kriptan bada Dagoeneko hash kate bat itzultzen du niretzat. 446 00:21:54,520 --> 00:21:58,790 Eta benetan gatz hura adina aldiz eta hainbat aldiz egiaztapenekin da. 447 00:21:58,790 --> 00:22:00,070 >> Beraz, ez dugu hori egin ahal izateko. 448 00:22:00,070 --> 00:22:04,790 Beraz guztiak egin behar duzun da bidal kriptan sartu. 449 00:22:04,790 --> 00:22:08,170 Eta hash handi bat sortuko da, hura gabe gatza kezkatu beharrik duzu 450 00:22:08,170 --> 00:22:08,990 edo ezer. 451 00:22:08,990 --> 00:22:12,000 Ziren gatza duzu bada, duzulako zer gatza erabiltzen duzun gogoratzeko 452 00:22:12,000 --> 00:22:13,800 delako ez bada, ezin duzu zure pasahitza gabe itzuli 453 00:22:13,800 --> 00:22:15,760 gatza, erabili duzun. 454 00:22:15,760 --> 00:22:17,010 Ados. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> Eta identifikagarri pertsonala ere informazio. 457 00:22:23,150 --> 00:22:26,730 Beraz, gizarte segurantza, kreditu-txartela - hori nahiko begi-bistakoa da. 458 00:22:26,730 --> 00:22:31,880 Baina batzuetan jendeak ahaztu modu obra da, zenbat informazio egiten duzu 459 00:22:31,880 --> 00:22:35,690 benetan pertsona bat batzuk aurkitu behar? 460 00:22:35,690 --> 00:22:37,740 Norbait buruzko azterlan bat egin hau modu bat atzera. 461 00:22:37,740 --> 00:22:40,870 Eta hala izan zen, baduzu izen osoa, ezin duzu aurkitu 462 00:22:40,870 --> 00:22:41,610 norbaitek erraz. 463 00:22:41,610 --> 00:22:43,900 Baina zer izen oso bat beharko duzu eta horien jaiotze-data? 464 00:22:43,900 --> 00:22:47,770 Da nahikoa identifikatzeko duten norbaitek zehazki? 465 00:22:47,770 --> 00:22:52,760 >> Zein den bere izena eta badaukazu du Bizi diren on duten kalean helbidea? 466 00:22:52,760 --> 00:22:55,110 Nahikoa norbait aurkitu behar da hori? 467 00:22:55,110 --> 00:23:02,490 Eta hori da zalantzan jartzen direnean, zer da informazio pertsonala, eta 468 00:23:02,490 --> 00:23:05,360 behar zer kezkatu buruz duzun ez kanpoan emanez? 469 00:23:05,360 --> 00:23:08,770 Oparituko dizu identifikagarri pertsonala bada norbaitek ematen dizu, informazioa, 470 00:23:08,770 --> 00:23:11,420 potentzialki ahal izango duzu get auzitara eraman. 471 00:23:11,420 --> 00:23:12,610 Eta ez behin betiko ez nahi duten. 472 00:23:12,610 --> 00:23:14,955 >> Beraz, zure webgunean ari zara jartzen atera, eta benetan cool bat duzu 473 00:23:14,955 --> 00:23:17,230 diseinua, zorionez, egin duzun azken proiektua awesome bat. 474 00:23:17,230 --> 00:23:18,370 Inolako duzu nahi jarri han. 475 00:23:18,370 --> 00:23:21,420 Ziur hori egin nahi duzuna ari zaren erabiltzailea hartu da, bada 476 00:23:21,420 --> 00:23:25,310 informazio pertsonala, zuk ziur benetan zaren izatea ziurtatu nahi 477 00:23:25,310 --> 00:23:26,560 berarekin ibili. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Shell injekzio. 480 00:23:31,080 --> 00:23:31,350 Ados. 481 00:23:31,350 --> 00:23:37,590 Shell injekzio intruder ahalbidetzen zure benetako komando lerroko sarrera lortzeko 482 00:23:37,590 --> 00:23:39,660 zure zerbitzari. 483 00:23:39,660 --> 00:23:44,060 Eta beraz kodea exekutatzeko gai da zuen ezin duzula kontrolatzeko. 484 00:23:44,060 --> 00:23:49,560 Ikus dezagun horren adibide kate eder hemen. 485 00:23:49,560 --> 00:23:55,570 Berriro webgunean sartu badugu, naiz ondorengo kodea injekzio sartu joango gara. 486 00:23:55,570 --> 00:23:58,910 Beraz, hau ez da - 487 00:23:58,910 --> 00:24:00,420 gainera, ez da zer izan ginen aurretik bilatzen. 488 00:24:00,420 --> 00:24:11,200 Dena delakoa jarri erabiltzaileari dezazun ari gara nahi du, eta inprimatu egingo du 489 00:24:11,200 --> 00:24:12,220 nahi duzuna. 490 00:24:12,220 --> 00:24:13,890 >> Beraz, ez dut dei bat jarri nahi dut. 491 00:24:13,890 --> 00:24:15,540 Zer da hau ez da - 492 00:24:15,540 --> 00:24:16,940 egingo kateatuz hasiko da. 493 00:24:16,940 --> 00:24:19,520 Beraz me exekutatu utzi egingo du, edozein dela ere pertsonaren entzierro aginteaz 494 00:24:19,520 --> 00:24:21,500 aurretik eta nire komandoa. 495 00:24:21,500 --> 00:24:23,980 Eta sistemaren komando bat exekutatzen ari naiz. 496 00:24:23,980 --> 00:24:27,310 Eta azken kate horiek dira - gogoratzen zeri buruz hitz egiten duzu guys nahi dut, 497 00:24:27,310 --> 00:24:31,725 kodetzeko duzu berriz URL metodo bat da. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Exekutatu dut hau orain bada - 500 00:24:36,992 --> 00:24:39,150 Hemen erakutsiko baino gehiago dut - 501 00:24:39,150 --> 00:24:41,100 ikusiko duzu dut amaitu duten sortu komando bat exekutatzen ari da. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Hau da benetako zerbitzariari benetan nire web izan abian dagoela. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Beraz, ez dugu nahi, daiteke exekutatu dudalako - 506 00:24:58,510 --> 00:25:00,320 zerbitzari hori ez da nirea. 507 00:25:00,320 --> 00:25:04,030 Beraz, ez dut nahi nahaspila sortu nahi bere arreba, Marcus en zerbitzari. 508 00:25:04,030 --> 00:25:07,470 Baina komando gehiago exekutatu dezakezu duten arriskutsuak dira. 509 00:25:07,470 --> 00:25:11,885 Eta potentzialki, ezabatu ahal izango duzu fitxategi, katalogo kendu. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Direktorio batean badut kendu ahal Nahi nuen, baina ez dut nahi 512 00:25:17,970 --> 00:25:19,530 horretarako Marcus da. 513 00:25:19,530 --> 00:25:20,420 Mutil bat zuen. 514 00:25:20,420 --> 00:25:21,470 Bere zerbitzari maileguan me utzi zuen. 515 00:25:21,470 --> 00:25:24,620 Naiz, beraz zion utzi Alde ona da off. 516 00:25:24,620 --> 00:25:32,280 >> Beraz, zer ez dugu nahi erabili - ez dugu eval edo sistema erabili nahi. 517 00:25:32,280 --> 00:25:34,755 Eval edo sistema aukera ematen digu sistema deiak horiek egiteko. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval bitartez ebaluatzeko. 520 00:25:38,410 --> 00:25:40,790 Sistema esan nahi dudana ran. 521 00:25:40,790 --> 00:25:42,490 Honez zerbait exekutatu sisteman. 522 00:25:42,490 --> 00:25:46,730 Baina gauza horiek legez kanpo uzteko aukera izango dugu hemen PHP, beraz, ez dugu haiek erabiltzeko. 523 00:25:46,730 --> 00:25:47,400 Eta fitxategiak igotzeko. 524 00:25:47,400 --> 00:25:49,180 I zen awesome bat egin da joan Igotako fitxategi batera gauza. 525 00:25:49,180 --> 00:25:52,740 Baina bezalako guys esan nion, nire fitxategia Igotzeko gauza ez da lanean. 526 00:25:52,740 --> 00:25:54,590 Irudiak gehitu oraintxe banintz - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 irudiak gehitu beharko banu, eta irudi bat da - 529 00:26:00,830 --> 00:26:03,180 Igotzeko gauza bat duzu duen irudi bat da. 530 00:26:03,180 --> 00:26:03,660 Hori da isuna. 531 00:26:03,660 --> 00:26:04,280 Ez da ezer gertatzen. 532 00:26:04,280 --> 00:26:10,840 >> Baina upload fitxategi bat, behar izanez gero Adibidez, eta erabiltzaileak benetan igoerak 533 00:26:10,840 --> 00:26:19,220 PHP fitxategi edo exe fitxategi edo zerbait duten bezala, ondoren potentzialki ezin izan duzu 534 00:26:19,220 --> 00:26:19,740 arazo bat. 535 00:26:19,740 --> 00:26:21,390 Hau aurretik zen lanean. 536 00:26:21,390 --> 00:26:25,202 Niretzat tamalez, ez da orain ez lanean. 537 00:26:25,202 --> 00:26:30,230 Badut, adibidez, fitxategia igo, naiz Ez ezazu igotzeko baimena eskuratzerakoan 538 00:26:30,230 --> 00:26:33,400 zerbitzariari dela-fitxategia nirea ez baita. 539 00:26:33,400 --> 00:26:38,670 Beraz, lasaia benetan smart. 540 00:26:38,670 --> 00:26:39,610 >> Beraz, ez dugu nahi - 541 00:26:39,610 --> 00:26:40,130 You guys erakutsi nahi dut - 542 00:26:40,130 --> 00:26:41,840 Ados, horiek benetan cool tresna batzuk dira. 543 00:26:41,840 --> 00:26:45,100 Beraz, horiek - 544 00:26:45,100 --> 00:26:47,715 sartu - guys izanez Firefox - espero ez duzun. 545 00:26:47,715 --> 00:26:54,260 Ez dago SQL Inject izeneko bi gehigarri Me eta Cross-Site Gidoia Me. 546 00:26:54,260 --> 00:26:56,870 Ireki dute albo txiki gisa tabernak aldean. 547 00:26:56,870 --> 00:27:01,480 Eta joan banintz Adibidez CS60 - 548 00:27:01,480 --> 00:27:04,210 beraz, zer egiten da itxura forma guztiak horretarako - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 zorionez, ez dut lortu honen arazoak. 551 00:27:08,760 --> 00:27:09,190 >> Baina OK. 552 00:27:09,190 --> 00:27:12,600 Hemen pin sistema da. 553 00:27:12,600 --> 00:27:18,946 Beraz nintzen zulo bila hasten sistema, lehenengo gauza I egin da 554 00:27:18,946 --> 00:27:21,820 ireki txiki eder hau tresna aldean. 555 00:27:21,820 --> 00:27:24,160 Eta ez dut inprimakiak probatzeko joan auto erasoak. 556 00:27:24,160 --> 00:27:28,510 Eta, beraz, hau ez da izango, poliki-poliki ireki nabigatzaile mordo bat. 557 00:27:28,510 --> 00:27:29,930 Hemen Nabigatzaile mordo bat da. 558 00:27:29,930 --> 00:27:33,320 Eta konbinazio bakarra behin saiatzen ari da cross-site scripting of 559 00:27:33,320 --> 00:27:37,380 dagoela seguru da, bada aldean ikusiko duzu. 560 00:27:37,380 --> 00:27:42,080 >> Eta me emango da emaitza erantzuna zein den moduko. 561 00:27:42,080 --> 00:27:42,860 Guztiak gainditu. 562 00:27:42,860 --> 00:27:43,910 Jakina, pasatzen ziren denak. 563 00:27:43,910 --> 00:27:46,190 Esan nahi dut, benetan smart ari dira Jende han. 564 00:27:46,190 --> 00:27:48,010 Baina exekutatu banintz - 565 00:27:48,010 --> 00:27:52,050 Nik aldiz izan nuen hau exekutatu aurretik ikasleen azken proiektuetan. 566 00:27:52,050 --> 00:27:56,080 Exekutatu dut besterik SQL injektatu Me-rekin ezberdinak eraso guztiak. 567 00:27:56,080 --> 00:28:00,080 Eta SQL inject saiatzen da pin zerbitzari honetan. 568 00:28:00,080 --> 00:28:03,590 Beraz, behera joan gara, eman Adibidez, dio - 569 00:28:03,590 --> 00:28:04,960 hau ona da itzultzen bada. 570 00:28:04,960 --> 00:28:08,250 >> Beraz, balore jakin batzuk probatu ditu. 571 00:28:08,250 --> 00:28:11,170 Eta zerbitzariari bat itzuli kode hori negatiboa izan zen. 572 00:28:11,170 --> 00:28:11,780 Ken aldi baterako. 573 00:28:11,780 --> 00:28:13,030 Hau ona da. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Baldintza hauek guztiak saiatzen da. 576 00:28:20,750 --> 00:28:21,790 Beraz, besterik gabe, ezin duzu korrika egin - 577 00:28:21,790 --> 00:28:27,860 Webgune erreal bat aurkitu nuen nahi dut azkar me utzi litzateke - 578 00:28:27,860 --> 00:28:29,110 agian CS50 dendan. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Wow, hau da, joan hartzeko modu luzeegia. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Utzi dut lehen proba ez amaitzeko eskubidea. 583 00:28:55,130 --> 00:28:57,330 Beraz, kexatzen da. 584 00:28:57,330 --> 00:28:58,470 Beraz, horiek hiru gauzak dira. 585 00:28:58,470 --> 00:29:00,430 Tresna horiek doakoak dira. 586 00:29:00,430 --> 00:29:03,960 Horiek deskarga ditzakezu eta exekutatu horien gainean zure webgune, eta esango dizu bada 587 00:29:03,960 --> 00:29:06,650 cross-site scripting duzu, SQL baduzu, baduzu 588 00:29:06,650 --> 00:29:07,900 bezalako zerbait. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Dut moduko messing. 591 00:29:14,500 --> 00:29:15,550 >> Zer da garrantzitsua - 592 00:29:15,550 --> 00:29:17,900 Ados, beraz, inoiz erabiltzaileari fidatzen. 593 00:29:17,900 --> 00:29:21,920 Whatever user input duzu, egiteko Ziur sanitize duzu, garbitu duzu, 594 00:29:21,920 --> 00:29:25,300 eskuineko gauzak egiaztatu duzu, dela zuk eman duzuna 595 00:29:25,300 --> 00:29:28,240 duzu eman zion nahi. 596 00:29:28,240 --> 00:29:32,460 Beti be eguneratzen zer esparru ari zarela benetan erabiliz. 597 00:29:32,460 --> 00:29:34,630 - Bootstrap antzeko zerbait erabiltzen baduzu 598 00:29:34,630 --> 00:29:36,340 You guys dira erabili ezagutzen dut bootstrap zuen da joan delako 599 00:29:36,340 --> 00:29:38,140 gorako honen laster klasean - 600 00:29:38,140 --> 00:29:43,120 eta Wordpress edo horrelako zerbait, normalean hau hacked litezke. 601 00:29:43,120 --> 00:29:44,770 >> Eta gero ez dakite duzu. 602 00:29:44,770 --> 00:29:45,800 Zu besterik ez zure web exekutatzen duzun. 603 00:29:45,800 --> 00:29:47,360 Eta guztiz segurua da. 604 00:29:47,360 --> 00:29:51,730 Eta behera joan behar. 605 00:29:51,730 --> 00:29:54,000 Beraz, oso goiz arrantzan ari naiz. 606 00:29:54,000 --> 00:29:55,770 Baina eskerrak eman Pentest Labs nahi dut. 607 00:29:55,770 --> 00:29:58,140 You guys erakusteko zerbait noa Pentest Labs izeneko. 608 00:29:58,140 --> 00:30:05,000 You guys benetan interesa izanez gero zer segurtasun benetan, ez da bat 609 00:30:05,000 --> 00:30:07,300 Webgune Pentest Labs bada deitzen you guys joan da oraintxe. 610 00:30:07,300 --> 00:30:10,730 Oh, bai, hori ez da. 611 00:30:10,730 --> 00:30:12,030 Besterik ez dut hau bezalako exekutatu. 612 00:30:12,030 --> 00:30:14,400 Google erantzuna esaten dit. 613 00:30:14,400 --> 00:30:16,590 >> Ados. 614 00:30:16,590 --> 00:30:19,030 Eta erabiltzen duzun irakasten - beraz dio, ikasteko web sartze 615 00:30:19,030 --> 00:30:21,060 eskuineko bidea probatzen. 616 00:30:21,060 --> 00:30:23,650 Irakasten duzu - 617 00:30:23,650 --> 00:30:25,150 zorionez, zaren pertsona etikoa. 618 00:30:25,150 --> 00:30:29,200 Baina zuk irakasten at nola begiratu dezakezu webgune barrutik nola lor dezakezu. 619 00:30:29,200 --> 00:30:31,130 Eta ikasten baduzu nola barrutik lor dezakezu webgune, ikasi ahal izango duzu nola 620 00:30:31,130 --> 00:30:34,960 burua babestu lortzean barrutik webgune. 621 00:30:34,960 --> 00:30:39,100 Utzi gerturatzeko me agian you guys delako ez dira eskubide hori begira. 622 00:30:39,100 --> 00:30:46,350 >> SQL injekzio batetik, shell beraz Sort nola SQL aurrera egin ahal izango dut 623 00:30:46,350 --> 00:30:48,530 injekzio den shell. 624 00:30:48,530 --> 00:30:53,890 Eta makina birtual honetan deskargatzen duzunean. 625 00:30:53,890 --> 00:30:55,690 Eta makina birtuala dagoeneko dator Webgunean duzu Oraindik horrekin 626 00:30:55,690 --> 00:30:56,780 Probatu on going. 627 00:30:56,780 --> 00:30:58,030 PDF hau deskargatzen duzunean. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 Eta zuk lerro erakutsiko ditu lerroz zer egin behar duzun, zer begiratu duzu. 630 00:31:08,370 --> 00:31:14,560 Hau da, erasotzaile batek zer benetan web gune baten barruan lortu du. 631 00:31:14,560 --> 00:31:15,750 >> Eta gauza hau batzuk zaila da. 632 00:31:15,750 --> 00:31:17,520 Nahi dut gehiago baino gehiago izan dut joan zuekin gauza. 633 00:31:17,520 --> 00:31:21,090 Baina kezkatu dut you guys ez dute benetan - 634 00:31:21,090 --> 00:31:23,090 hau da, zer baino gehiago joan nintzen batera , you guys web probak 635 00:31:23,090 --> 00:31:26,830 sartze azterketa. 636 00:31:26,830 --> 00:31:33,540 , Ez dakit zer SQL da eta zer - 637 00:31:33,540 --> 00:31:35,960 Carl Jacksonen mintegia Zoragarria da baita. 638 00:31:35,960 --> 00:31:37,360 Zaudete ez dakit nolako hau zer den. 639 00:31:37,360 --> 00:31:39,450 Baina bazoaz Webgune honetara, eta zuk tutoretzak horiek eta hauek deskargatu 640 00:31:39,450 --> 00:31:43,290 PDFak, moduko begirada bat hartu ahal izango duzu zer segurtasun alorrean benetan 641 00:31:43,290 --> 00:31:46,940 sartze probetan, ikusi nola ahal duzun barrutik webgune lortzeko eta babesteko 642 00:31:46,940 --> 00:31:48,020 bertatik yourself. 643 00:31:48,020 --> 00:31:56,360 >> Beraz, ikuspegi orokor super azkar bat egin badut, bertan egon saihesteko egingo gurutze-site scripting. 644 00:31:56,360 --> 00:32:00,160 Htmlspecialchars erabiltzeko behin nahi duzun Erabiltzaileak Sarrerek zerbait denborarik. 645 00:32:00,160 --> 00:32:01,580 SQL injekzio saihesteko. 646 00:32:01,580 --> 00:32:04,510 Hori egin ezkero, zauden dagoeneko off hobeto Harvard zen baino 647 00:32:04,510 --> 00:32:06,530 denean urratu egin dute. 648 00:32:06,530 --> 00:32:10,510 Eta ziurtatu zure pasahitzak Ez dira testu arruntean. 649 00:32:10,510 --> 00:32:16,220 Ziurtatu egin nahi duzu, ez bakarrik modu hash Horietako baina kriptan erabili duzula, PHP 650 00:32:16,220 --> 00:32:18,670 funtzioa duten guys erakutsi dut. 651 00:32:18,670 --> 00:32:20,060 Era horretan, ona izan behar duzu. 652 00:32:20,060 --> 00:32:25,830 >> Horrez gain, zure lagunak utzi baduzu, exekutatu SQL Inject Me beren web orrietan. 653 00:32:25,830 --> 00:32:28,140 Exekutatu cross-site scripting beren web orrietan. 654 00:32:28,140 --> 00:32:33,720 Eta webgune horiek asko ikusiko duzu ahuleziak tona bat. 655 00:32:33,720 --> 00:32:40,400 Sinestezina da zenbat pertsona ahaztu Bere datu-base higienizatzeko edo egin 656 00:32:40,400 --> 00:32:46,340 ziur zer pertsonaren inputting Ez da script kodea. 657 00:32:46,340 --> 00:32:47,200 Ados. 658 00:32:47,200 --> 00:32:49,182 I moduko amaitu benetan goiz. 659 00:32:49,182 --> 00:32:56,510 Baina edonork buruzko zalantzarik baldin badu ezer, tiro niri galdera bat dezakezu. 660 00:32:56,510 --> 00:32:56,630 Bai. 661 00:32:56,630 --> 00:32:56,970 Joan, joan. 662 00:32:56,970 --> 00:32:59,846 >> AUDIENCE: besterik eskatu nahi dut, daiteke nola fitxategian azaldu duzu 663 00:32:59,846 --> 00:33:03,160 zehazki lanak igo. 664 00:33:03,160 --> 00:33:03,480 >> LUCIANO ARANGO: Bai. 665 00:33:03,480 --> 00:33:06,350 Hargatik duzun fitxategia erakutsi igo benetako azkar. 666 00:33:06,350 --> 00:33:11,300 Beraz fitxategia kargatu den - 667 00:33:11,300 --> 00:33:14,500 Arazoa fitxategia kargatu den bainugel oraintxe dela - 668 00:33:14,500 --> 00:33:18,541 Kodearen ireki arte, you guys noa ikusten du atzealdean kodearen. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 Eta igotzea da. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Hemen fitxategia uploader kodea da. 673 00:33:31,560 --> 00:33:33,980 >> Honetan sartu saiatzen ari gara hemen baino gehiago direktorioa. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 Eta saiatzen ari gara, behin sarrerako dugu fitxategia, isset fitxategia - beraz, bada, ez da 676 00:33:44,880 --> 00:33:50,900 FILES, irudi horretan fitxategia, eta ondoren hemen mugitzen saiatzen gara. 677 00:33:50,900 --> 00:33:51,910 Fitxategia har dugu hemen baino gehiago. 678 00:33:51,910 --> 00:33:58,350 Metodoa POST, mota, irudiaren, fitxategia da. 679 00:33:58,350 --> 00:33:59,630 Eta fitxategi honetara bidaltzen ari gara. 680 00:33:59,630 --> 00:34:03,910 Eta, ondoren, behin lortu dugu, beraz, behin fitxategia irudi bat dauka, bidal saiatzen ari gara 681 00:34:03,910 --> 00:34:05,060 direktorio honetan. 682 00:34:05,060 --> 00:34:09,814 >> Arazoa da webgunean ez da joan direktorio hau dit dezazun, 683 00:34:09,814 --> 00:34:12,239 ez duelako nahi atzera joan me. 684 00:34:12,239 --> 00:34:13,489 Ez du nahi joan me - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Joan behar dut - beraz, hemen da igo. 687 00:34:17,070 --> 00:34:17,639 Hemen irudiak da. 688 00:34:17,639 --> 00:34:21,780 Modu guztiak itzuli behar dut hasieratik eta jarri han eta gero 689 00:34:21,780 --> 00:34:23,820 joan eta jarri direktorioan. 690 00:34:23,820 --> 00:34:30,000 I terminal-leihoan exekutatzen zen, hala bada, eta fitxategi batera mugitu nahi nuen - 691 00:34:30,000 --> 00:34:30,409 [INAUDIBLE] 692 00:34:30,409 --> 00:34:32,159 Ikusi ahal izango. 693 00:34:32,159 --> 00:34:37,940 Fitxategi bat mugitu nahi nuen, bada, nik egin dudan fitxategiaren izena jarri eta gero, 694 00:34:37,940 --> 00:34:40,860 bide osoa bidali nahi dut. 695 00:34:40,860 --> 00:34:45,110 >> Eta ondoren, zerbitzariak ez uztea zidan atzera jo. 696 00:34:45,110 --> 00:34:46,929 Eta beraz, ez da uztea lortzeko fitxategi hori niretzat. 697 00:34:46,929 --> 00:34:47,670 Baina normalean - 698 00:34:47,670 --> 00:34:49,360 beraz, ez dago kodea da fitxategirik kargatu. 699 00:34:49,360 --> 00:34:52,260 Beraz, normalean, zer gertatuko da hori Pertsona ez da egiaztatzen bada nire fitxategia 700 00:34:52,260 --> 00:34:57,920 . jpeg bukatzen da, beraz, I begiratu nahi nuke. 701 00:34:57,920 --> 00:35:00,054 Dezagun adibide bat ireki zidan gehiegi benetako azkar. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> Ados. 704 00:35:08,260 --> 00:35:09,230 Pertsona hori eskubidea - 705 00:35:09,230 --> 00:35:11,980 beraz, bi adibide egiaztatzen da preg_match bada - 706 00:35:11,980 --> 00:35:14,180 Hemen da hemen baino gehiago da - 707 00:35:14,180 --> 00:35:19,660 Ziur bukatzen egiteko PHP, ona da. 708 00:35:19,660 --> 00:35:20,580 Hau ona da. 709 00:35:20,580 --> 00:35:22,820 Baina ez dago benetako handi bat da honekin arazo. 710 00:35:22,820 --> 00:35:24,600 Hau ona da. 711 00:35:24,600 --> 00:35:44,190 Baina izeneko fitxategi bat jarri beharko banu myfavoritepicture.php.jpeg, nuen 712 00:35:44,190 --> 00:35:50,060 oraindik ere potentzialki ezagutu jpeg kentzeko eta exekutatu it.k Hori PHP en arriskutsua. 713 00:35:50,060 --> 00:35:53,850 Ez duzu nahi pertsona gai izan Zure orrian kodea exekutatu. 714 00:35:53,850 --> 00:35:55,750 >> Baina orduan. Jpeg aukera dago pasatzen. 715 00:35:55,750 --> 00:36:00,720 Ideia da benetan zer egin nahi duzun Ez dago fitxategiak, A. Baina, Ados, hartu zer 716 00:36:00,720 --> 00:36:07,500 Benetan egin nahi duzun da ziurtatu mundu osoan zehar irakurri duzun. 717 00:36:07,500 --> 00:36:08,720 Eta ez dago ezer. Bertan php. 718 00:36:08,720 --> 00:36:10,500 Ez dago. Diren php fitxategi-izen osoa. 719 00:36:10,500 --> 00:36:12,780 >> AUDIENCE: Baina zuk Could jarri. jpeg bukaeran. 720 00:36:12,780 --> 00:36:15,830 Zerbitzariak, oraindik kodea exekutatu. 721 00:36:15,830 --> 00:36:16,870 >> LUCIANO ARANGO: Ez, ez da hasieran exekutatu. 722 00:36:16,870 --> 00:36:22,310 Atzera joan eta saiatu behar duzu nahi baduzu, ikus - 723 00:36:22,310 --> 00:36:24,210 >> AUDIENCE: Beraz, izan dugu - 724 00:36:24,210 --> 00:36:26,020 Ados, besterik beste bat dakar multzo - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANO ARANGO: Bai. 726 00:36:26,936 --> 00:36:29,230 >> AUDIENCE: Ados. 727 00:36:29,230 --> 00:36:31,486 >> LUCIANO ARANGO: Bai. 728 00:36:31,486 --> 00:36:31,900 Ados. 729 00:36:31,900 --> 00:36:32,865 Beste edozein galdera? 730 00:36:32,865 --> 00:36:33,180 Ados. 731 00:36:33,180 --> 00:36:37,350 Hau uzteko sortu eta ordenatzeko noa of saiatzeko you guys ahal bada ikusteko - 732 00:36:37,350 --> 00:36:40,490 beste batzuk dira, pixka bat gehiago askoz konplikatuak eskatzen dutelako 733 00:36:40,490 --> 00:36:44,050 SQL ezagutza gehiago baino besterik hasten diren web SQL ezagutza da eta 734 00:36:44,050 --> 00:36:47,010 zer JavaScript da. 735 00:36:47,010 --> 00:36:49,730 Baina ez dut hau mantentzeko arte saiatu, eta espero duzu guys izango ikasteko 736 00:36:49,730 --> 00:36:53,230 honi buruz eta saiatu peek bat hartu at zer egin dezakezu eta zenbat adibide 737 00:36:53,230 --> 00:36:54,420 bidez lor dezakezu. 738 00:36:54,420 --> 00:36:56,020 >> Edonork beste edozein hari buruzko galderak? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Anima zaitez. 741 00:37:00,350 --> 00:37:01,170 Bai, tiro, tiro. 742 00:37:01,170 --> 00:37:01,580 Bai, aurrera. 743 00:37:01,580 --> 00:37:01,850 Anima zaitez. 744 00:37:01,850 --> 00:37:02,310 >> AUDIENCE: Ados. 745 00:37:02,310 --> 00:37:08,870 Beraz, entzun nuen nola Magic Quotes ez direla ziurtatzeko nahikoa. 746 00:37:08,870 --> 00:37:09,280 >> LUCIANO ARANGO: Zer - 747 00:37:09,280 --> 00:37:10,110 Magic Quotes? 748 00:37:10,110 --> 00:37:10,595 >> IKUSLEEN: Bai. 749 00:37:10,595 --> 00:37:15,445 Beraz, gehitzen du - beraz duzunean sarrera zerbait, komatxo beti gehitzen da. 750 00:37:15,445 --> 00:37:15,930 >> LUCIANO ARANGO: Bai. 751 00:37:15,930 --> 00:37:16,000 Bai. 752 00:37:16,000 --> 00:37:16,496 Ados. 753 00:37:16,496 --> 00:37:19,113 >> AUDIENCE: Eta gero, nahiz eta duen lan egin dut, baina gero bilatuko dut. 754 00:37:19,113 --> 00:37:21,648 Eta ez da ona, esan du. 755 00:37:21,648 --> 00:37:23,050 Baina ez nago ziur zergatik. 756 00:37:23,050 --> 00:37:23,360 >> LUCIANO ARANGO: Bai. 757 00:37:23,360 --> 00:37:26,240 >> AUDIENCE: Ez Magic Quotes erabiltzea, ez da seguru. 758 00:37:26,240 --> 00:37:26,360 >> LUCIANO ARANGO: Ados. 759 00:37:26,360 --> 00:37:31,735 Beraz Magic Quotes denean SQL sartzen duzunean eta zuretzat aurrekontua dagoeneko gehitzen da. 760 00:37:31,735 --> 00:37:33,520 >> AUDIENCE: beti gehitzen da komatxo edozein dela ere, bertan sartu zure inguruan 761 00:37:33,520 --> 00:37:34,210 >> LUCIANO ARANGO: Bai. 762 00:37:34,210 --> 00:37:37,190 Beraz, arazoa da hori - 763 00:37:37,190 --> 00:37:38,445 Hartuko dut begirada bat - 764 00:37:38,445 --> 00:37:41,390 >> AUDIENCE: Nola funtzionatzen du eskuratu SQL adierazpena? 765 00:37:41,390 --> 00:37:44,690 Edo asmatu dut izan zitekeen bezalako quote hautatu. 766 00:37:44,690 --> 00:37:49,030 >> LUCIANO ARANGO: Bai, behar duzun SQL kotizazio onak. 767 00:37:49,030 --> 00:37:52,900 >> AUDIENCE: Ez, baina zerbitzariak du zuretzat. 768 00:37:52,900 --> 00:37:54,460 >> LUCIANO ARANGO: komatxo txiki hauek hementxe, komatxo txiki horiek? 769 00:37:54,460 --> 00:37:55,670 >> IKUSLEEN: Bai. 770 00:37:55,670 --> 00:37:56,450 >> LUCIANO ARANGO: Bai. 771 00:37:56,450 --> 00:37:59,860 Arazoa da, ahal duzun komentatu azkena - 772 00:37:59,860 --> 00:38:05,770 Ados, beraz, zer egin ahal izango dut ahal komentatu dut irten - beraz dezagun begirada bat - utzi nazazu 773 00:38:05,770 --> 00:38:07,920 Testua editatzeko fitxategi bat irekitzeko. 774 00:38:07,920 --> 00:38:09,610 Utzi editatu me honetan hementxe zuzenean. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 Ados. 777 00:38:20,400 --> 00:38:23,710 Dezakezu guys duten ikustea argi eta garbi? 778 00:38:23,710 --> 00:38:29,730 Zer egin ahal izango dut ahal komentatu dut azkena daudelarik. 779 00:38:29,730 --> 00:38:32,190 Hau atera komentatzeko izango azkena. 780 00:38:32,190 --> 00:38:36,760 Eta gero jarri dut hemen, jarri maltzurren stuff guztiak hemen. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Beraz, erabiltzaileak benetan , inputting ezta? 783 00:38:42,630 --> 00:38:45,230 Erabiltzaileari ez inputting gauzak, ezta? 784 00:38:45,230 --> 00:38:47,430 Hau da, zer sarrera noa gisa pertsonaren barrutik lortu nahian. 785 00:38:47,430 --> 00:38:49,430 Ra jarri noa - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 duten komatxoekin bat da. 788 00:39:00,180 --> 00:39:01,760 Da bakarrik squiggly akatsa. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 Eta gero, zer kodearen da egingo - 791 00:39:19,400 --> 00:39:20,190 barkatu, naiz hau hartzeko irten nintzen. 792 00:39:20,190 --> 00:39:22,170 Zer kodearen da egin egingo da nik lehen gehitzeko joan 793 00:39:22,170 --> 00:39:24,030 komatxo hemen. 794 00:39:24,030 --> 00:39:26,040 Eta hori azken gehitzeko joan komatxoekin baita. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> Eta hori ere gehitu egingo da azkena, azken komatxoekin. 797 00:39:33,270 --> 00:39:37,380 Baina aipu horiek komentatuz naiz markatzen, beraz, ez dute exekutatu. 798 00:39:37,380 --> 00:39:41,440 Eta aipu hau bukatu dut markatu hemen. 799 00:39:41,440 --> 00:39:42,290 Ulertzen al duzu? 800 00:39:42,290 --> 00:39:43,750 Ari zaren galdu? 801 00:39:43,750 --> 00:39:45,880 Azken aipu komentatu ahal dut marka, eta zaindu du 802 00:39:45,880 --> 00:39:46,680 Lehenengo komatxoekin. 803 00:39:46,680 --> 00:39:47,350 >> AUDIENCE: Eta besterik akabera lehena. 804 00:39:47,350 --> 00:39:47,480 >> LUCIANO ARANGO: Bai. 805 00:39:47,480 --> 00:39:48,400 Eta besterik gabe amaituko lehena. 806 00:39:48,400 --> 00:39:48,790 Bai, hori da. 807 00:39:48,790 --> 00:39:50,800 Hori da, zer egin ahal dut. 808 00:39:50,800 --> 00:39:51,890 Bai. 809 00:39:51,890 --> 00:39:52,980 Beste edozein galdera horrela? 810 00:39:52,980 --> 00:39:54,230 Hori galdera bat da. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Ez, bai, agian. 813 00:39:59,790 --> 00:40:06,150 Zorionez, asko guys ordenatzeko egingo zentzu gehiago denean SQL eta ikasi duzu 814 00:40:06,150 --> 00:40:06,650 horrelako gauzak. 815 00:40:06,650 --> 00:40:07,980 Baina ziurtatu duzu - 816 00:40:07,980 --> 00:40:10,340 mantentzeko tresna horien zaintza ere. 817 00:40:10,340 --> 00:40:12,760 Barkatu, hemen baino gehiago tresna horiek. 818 00:40:12,760 --> 00:40:14,200 Tresna horiek handiak dira. 819 00:40:14,200 --> 00:40:17,190 Edonork galderaren bat badu, halaber email dezakezu nirekin. 820 00:40:17,190 --> 00:40:19,020 Hau nire posta normala da. 821 00:40:19,020 --> 00:40:25,015 Eta hau nire laneko posta da, eta horrek da dut noiz SEAS lanean. 822 00:40:25,015 --> 00:40:26,040 >> Ados, eskerrik asko. 823 00:40:26,040 --> 00:40:26,740 Eskerrik asko, mutil. 824 00:40:26,740 --> 00:40:27,860 Ona joan Oraindik duzu. 825 00:40:27,860 --> 00:40:28,830 Ez duzu hemen lo. 826 00:40:28,830 --> 00:40:29,570 Ez Clap. 827 00:40:29,570 --> 00:40:30,170 Hori da, bitxi. 828 00:40:30,170 --> 00:40:31,420 Ados, eskerrik asko, mutil. 829 00:40:31,420 --> 00:40:32,320