1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANO ARANGO: OK, kaverit. 3 00:00:10,300 --> 00:00:11,550 Nimeni on Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Olen toisen vuoden opiskelija Adams House. 5 00:00:13,915 --> 00:00:17,550 Ja aiomme puhua Web Security aktiivista varautumista. 6 00:00:17,550 --> 00:00:24,220 Joten olen töissä Office of Information Turvallisuus SEAS. 7 00:00:24,220 --> 00:00:28,670 Ja kesän aikana, olen työharjoittelun SeguraTec, joka oli tiedot 8 00:00:28,670 --> 00:00:31,310 turvallisuusalan yritys, joka toimi Bank of Columbia. 9 00:00:31,310 --> 00:00:34,740 Se on enimmäkseen jossa olen oppinut mitä olen oppinut tähän mennessä. 10 00:00:34,740 --> 00:00:37,990 >> Ja niin osa materiaalista, että olemme mennä yli tänään, meillä ei 11 00:00:37,990 --> 00:00:39,670 oikeastaan ​​puhuneet luokassa. 12 00:00:39,670 --> 00:00:40,410 Mutta pian. 13 00:00:40,410 --> 00:00:42,360 Se tulee olemaan kuin SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 Ja me emme ole todellakaan mennyt sen yli. 15 00:00:44,870 --> 00:00:47,730 Joten en voi järjestellä lennon läpi, ja et ehkä tiedä joitakin asioita. 16 00:00:47,730 --> 00:00:48,890 Mutta pian opit sen. 17 00:00:48,890 --> 00:00:52,080 Ja se tulee kaikki on selvää. 18 00:00:52,080 --> 00:00:54,010 Myös toinen asia - 19 00:00:54,010 --> 00:00:55,780 pysyä eettisiä. 20 00:00:55,780 --> 00:01:00,560 Jotkut asiat, että opit, voit voisi käyttää ei-eettisiä tapoja. 21 00:01:00,560 --> 00:01:01,950 >> Jos se on sinun, ehdottomasti kokeilla. 22 00:01:01,950 --> 00:01:04,500 Olen ehdottomasti motivoida teitä kokeilla omia palvelimia, kokeile 23 00:01:04,500 --> 00:01:05,519 menee niiden sisällä. 24 00:01:05,519 --> 00:01:08,500 Katso jos voit tunkeutua niitä, jos saat niiden sisällä. 25 00:01:08,500 --> 00:01:09,560 Mutta ei kenenkään muun. 26 00:01:09,560 --> 00:01:12,390 Poliisit eivät todellakaan pidä vitsejä ja koko, laitamme tämä tässä. 27 00:01:12,390 --> 00:01:14,040 Olimme pelleily. 28 00:01:14,040 --> 00:01:15,780 He saavat todella vihainen. 29 00:01:15,780 --> 00:01:18,700 >> Joten pään yli tällä sivustolla. 30 00:01:18,700 --> 00:01:23,560 Minulla on se avattiin täällä. 31 00:01:23,560 --> 00:01:26,780 Tämä on sivusto, ja se on joukko esimerkkejä. 32 00:01:26,780 --> 00:01:30,000 Mitä tapahtuu, on, että ensimmäinen esimerkki on tavallaan olemaan paljon helpompaa 33 00:01:30,000 --> 00:01:33,470 kuin viimeisin esimerkki mielessä että ensimmäinen esimerkki 34 00:01:33,470 --> 00:01:34,970 on täysin epävarma. 35 00:01:34,970 --> 00:01:40,850 Ja viimeinen on eräänlainen mitä normaali web turvallisuus ihminen tekisi. 36 00:01:40,850 --> 00:01:42,760 Mutta voit silti tavallaan ja kiertää sitä. 37 00:01:42,760 --> 00:01:44,860 Ja me aiomme keskittymällä yhteen ja kaksi esimerkkejä yksi ja kaksi. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Aloitetaan cross-site scripting. 41 00:01:52,780 --> 00:01:56,100 JavaScript ajetaan asiakkaan selaimen. 42 00:01:56,100 --> 00:01:59,980 Se on ohjelmointikieli, jota käytät toimimaan asiakkaan selaimeen, jotta 43 00:01:59,980 --> 00:02:04,120 sinun ei tarvitse päivittää verkkosivuilla ja mene takaisin palvelimelle. 44 00:02:04,120 --> 00:02:04,940 Sinulla on se käynnissä. 45 00:02:04,940 --> 00:02:08,870 Esimerkiksi Facebook, sinun ei tarvitse ladata sivuston uusi asema 46 00:02:08,870 --> 00:02:09,710 päivitykset keksiä. 47 00:02:09,710 --> 00:02:12,170 Se käyttää JavaScript tuottaa kaikki nämä asiat. 48 00:02:12,170 --> 00:02:16,290 Joten voimme pistää haitallisen JavaScript osaksi sivustot. 49 00:02:16,290 --> 00:02:20,890 Ja sillä tavalla, kun lähetämme linkin joku, voisimme tavallaan lähetä se 50 00:02:20,890 --> 00:02:23,050 joitakin koodin että haluamme. 51 00:02:23,050 --> 00:02:26,450 >> On jatkuva ja ei-jatkuva JavaScript - 52 00:02:26,450 --> 00:02:30,640 jatkuva ja ei-jatkuva cross-site scripting, tarkoitan. 53 00:02:30,640 --> 00:02:33,760 Ja erona on, että jatkuva on Javascript joka on 54 00:02:33,760 --> 00:02:36,060 tallennettu verkkosivuilla. 55 00:02:36,060 --> 00:02:39,780 Ja ei-jatkuva on JavaScript jotka todellisuudessa vain tapahdu kerran. 56 00:02:39,780 --> 00:02:41,795 Joten katsokaamme esimerkki todella nopeasti. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Joten tällä sivustolla, yksinkertainen, mitään ei tapahdu täällä. 60 00:02:51,620 --> 00:02:53,070 Ja aiomme yrittää lisätä joitakin JavaScript. 61 00:02:53,070 --> 00:02:58,110 Joten miten me alat kirjoittaa JavaScript on aloitamme alussa käsikirjoituksen. 62 00:02:58,110 --> 00:03:00,570 Ja suljemme sen käsikirjoituksen. 63 00:03:00,570 --> 00:03:03,770 Me olemme todella aikoo laittaa viestin - 64 00:03:03,770 --> 00:03:05,410 Minä näytän sinulle - 65 00:03:05,410 --> 00:03:06,500 hälytys. 66 00:03:06,500 --> 00:03:11,150 Alert on toiminto, joka JavaScript käyttää näyttämään jotain. 67 00:03:11,150 --> 00:03:12,400 Joten katsotaanpa kokeilla sitä todella nopeasti. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Aion mennä, hälytys hei. 70 00:03:18,944 --> 00:03:20,400 No, unohdin laittaa - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Niin, että yksinkertainen. 74 00:03:26,540 --> 00:03:28,730 >> Laitoimme JavaScript verkkosivuilla, ja se tuli. 75 00:03:28,730 --> 00:03:31,200 Ja se tavallaan tapahtuu vain sivuillamme, eikö? 76 00:03:31,200 --> 00:03:33,040 Joten se näyttää se ei ole ongelma, eikö? 77 00:03:33,040 --> 00:03:34,920 Tarkoitan, miten voisit käyttää Tämän vihamielisesti? 78 00:03:34,920 --> 00:03:39,930 Niin niin, että hakkerit tekevät tämä on todella yksinkertaista. 79 00:03:39,930 --> 00:03:40,970 He aikovat napata sen. 80 00:03:40,970 --> 00:03:43,750 He voivat lähettää linkki sinulle. 81 00:03:43,750 --> 00:03:46,780 Jos minä lähetän linkki juuri nyt, ja avaat sen ylös, se tulee 82 00:03:46,780 --> 00:03:51,620 sanoa, hei, sanomalla, että minun verkkosivuilla kertoo sinulle hei. 83 00:03:51,620 --> 00:03:57,280 >> Joten jos sanoisin jotain hieman älykkäämpiä, jos vedän ylös 84 00:03:57,280 --> 00:03:59,880 JavaScript-toiminto Olen sellainen jo kirjoitti - 85 00:03:59,880 --> 00:04:03,940 mutta jos tarkastellaan sitä, menen Over It ennen kuin kirjoitin sen. 86 00:04:03,940 --> 00:04:06,650 Joten aiomme asettaa timeout. 87 00:04:06,650 --> 00:04:08,450 Aiomme odottaa pari sekuntia. 88 00:04:08,450 --> 00:04:13,970 Itse asiassa aiomme odottaa, jos En ole väärässä, viisi sekuntia. 89 00:04:13,970 --> 00:04:15,870 Tämä menee millisekunneissa. 90 00:04:15,870 --> 00:04:18,640 Ja mitä sitten me aiomme tehdä, on että olemme menossa varoittaa, että login 91 00:04:18,640 --> 00:04:21,459 aikakatkaisu kirjautua takaisin sisään 92 00:04:21,459 --> 00:04:23,990 Ja me aiomme muuttaa paikan toiseen paikkaan. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Joten jos lähetän tämän sivuston jollekulle, he aikovat olla 95 00:04:32,970 --> 00:04:34,380 lukemassa ympärillä, rauhallinen. 96 00:04:34,380 --> 00:04:35,650 Mitään ei tapahdu. 97 00:04:35,650 --> 00:04:38,550 Ja viiden sekunnin, se tulee sanoa, sisäänkirjautuminen vanhentunut. 98 00:04:38,550 --> 00:04:40,200 Ole hyvä ja kirjaudu takaisin sisään 99 00:04:40,200 --> 00:04:43,400 Kun he sitten OK, aion ottaa ne toiselle sivustolle. 100 00:04:43,400 --> 00:04:45,980 Oletettavasti, sivusto tulee olla samanlainen sivusto, joka 101 00:04:45,980 --> 00:04:47,280 ne olivat ennen. 102 00:04:47,280 --> 00:04:50,770 Ja he aikovat kirjautua niiden Valtakirjojen sivuilleni sijaan 103 00:04:50,770 --> 00:04:51,850 niiden verkkosivuilla. 104 00:04:51,850 --> 00:04:54,780 >> Ja jotta voin lähettää ihmisiä sähköpostiin linkki. 105 00:04:54,780 --> 00:04:56,240 Sanon, oh, tässä linkki. 106 00:04:56,240 --> 00:04:57,290 Tämä on pankki, esimerkiksi. 107 00:04:57,290 --> 00:05:01,390 Sanon, täällä, mene tätä linkkiä. 108 00:05:01,390 --> 00:05:03,730 Ja kun ne lähettävät ne, he aiotaan lukemassa ympärille. 109 00:05:03,730 --> 00:05:07,560 Voin odottaa 15 sekuntia, 20 sekuntia, ja sitten pop että kirjaudu takaisin sisään 110 00:05:07,560 --> 00:05:08,840 allekirjoittaa takaisin. 111 00:05:08,840 --> 00:05:10,120 Voitte kokeilla sitä paljon enemmän asioita. 112 00:05:10,120 --> 00:05:13,190 Se on monimutkaista, koska te ole nähnyt JavaScript, joten saatat 113 00:05:13,190 --> 00:05:14,750 tiedä joitakin toimintoja. 114 00:05:14,750 --> 00:05:18,625 Mutta kaikki sinun täytyy tehdä on aloittaa script, päättyy script. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 Ja voisit laittaa mitään keskellä. 117 00:05:25,510 --> 00:05:27,350 >> Alert on toiminto, odota. 118 00:05:27,350 --> 00:05:29,365 Ikkunan sijainti vie uuteen paikkaan. 119 00:05:29,365 --> 00:05:31,370 Mutta voit tehdä niin paljon enemmän. 120 00:05:31,370 --> 00:05:32,630 Ja niin ajatus on, että otamme tämän pois. 121 00:05:32,630 --> 00:05:39,350 Jos menen esimerkiksi kaksi, ja minä laittaa tämä sama koodi, se on 122 00:05:39,350 --> 00:05:40,210 ei tule toimimaan. 123 00:05:40,210 --> 00:05:43,620 Joten se tulostamalla kaiken pois, koska mitä tämä sivusto perin 124 00:05:43,620 --> 00:05:50,350 tekee on jos laitan mitään täällä, se tulee tulostaa sen täällä. 125 00:05:50,350 --> 00:05:52,390 Joten se ei tulosta mitään pois. 126 00:05:52,390 --> 00:05:55,560 Tässä esimerkissä on itse asiassa tarkkailun nähdä, jos kirjoitus on siellä. 127 00:05:55,560 --> 00:05:57,163 Niin joo, mene eteenpäin. 128 00:05:57,163 --> 00:05:57,606 Kysy minulta. 129 00:05:57,606 --> 00:05:59,560 >> Yleisö: ei lähetä saada tai lähettää pyynnöstä? 130 00:05:59,560 --> 00:06:00,670 >> LUCIANO ARANGO: Joo. he lähettämällä GET-pyynnön. 131 00:06:00,670 --> 00:06:01,350 >> Yleisö: Se on? 132 00:06:01,350 --> 00:06:02,490 >> LUCIANO ARANGO: Joo. 133 00:06:02,490 --> 00:06:04,030 Myös selaimet käyttävät POST-pyyntöjä. 134 00:06:04,030 --> 00:06:07,470 Mutta yritän näyttää GET jotta voimme nähdä, mitä on 135 00:06:07,470 --> 00:06:10,760 todella tapahtuu. 136 00:06:10,760 --> 00:06:12,880 Ja niin jos katsomme tätä koodia - joten se ei toimi enää. 137 00:06:12,880 --> 00:06:24,870 Ja jos me katsomaan tätä koodia, se tulee olemaan esimerkissä kaksi. 138 00:06:24,870 --> 00:06:29,300 Mitä tämä henkilö tekee, henkilö vastuussa tästä selain - 139 00:06:29,300 --> 00:06:35,370 avata, OK - 140 00:06:35,370 --> 00:06:39,290 korvaa sanan kirjoitus. 141 00:06:39,290 --> 00:06:42,850 Tämä on PHP, joka te ehkä ovat nähneet hieman vielä. 142 00:06:42,850 --> 00:06:46,250 >> Hän vain korvaa sana script nimi. 143 00:06:46,250 --> 00:06:50,895 Joten kuitenkin, jos menen eteenpäin ja vain laittaa - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 jos nappaan minun koodi uudelleen, ja aion muokata sitä vain vähän. 146 00:07:02,360 --> 00:07:15,010 Sen sijaan, script, aion muuttaa se script pääoman R. Ja 147 00:07:15,010 --> 00:07:16,390 aiomme nähdä, jos tämä koodi toimii. 148 00:07:16,390 --> 00:07:19,090 Joten se ei tulostaa sen, mikä on hyvä merkki. 149 00:07:19,090 --> 00:07:21,990 Ja toivottavasti kaksi sekuntia, se tulee pop up. 150 00:07:21,990 --> 00:07:22,820 >> Kirjautumistietosi aikakatkaistiin. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Ei se mitään. 153 00:07:24,460 --> 00:07:27,670 Joten tarkistaa skripti pitää ei välttämättä toimi. 154 00:07:27,670 --> 00:07:28,130 Henkilö - 155 00:07:28,130 --> 00:07:32,290 se voi myös tarkistaa käsikirjoituksen isoja, script pieniä, str tapauksessa 156 00:07:32,290 --> 00:07:34,180 vertailla, varmista, että ne ovat samat. 157 00:07:34,180 --> 00:07:38,480 Mutta hakkeri voi vielä tehdä sellainen mitä teimme Vigenere kun muutimme 158 00:07:38,480 --> 00:07:40,620 takaisin pari merkkiä, eteenpäin. 159 00:07:40,620 --> 00:07:43,470 Ja se voi selvittää, miten laittaa script takaisin sinne niin se voi pistää 160 00:07:43,470 --> 00:07:44,460 että käsikirjoitus. 161 00:07:44,460 --> 00:07:50,370 >> Joten mitä haluat käyttää on htmlspecialchars to 162 00:07:50,370 --> 00:07:51,330 suojata verkkosivuilla. 163 00:07:51,330 --> 00:07:56,490 Ja mitä tämä tekee on se tekee Muista, että mitä laitat - 164 00:07:56,490 --> 00:07:59,610 esimerkiksi pörssikurssien tai tämän suurempi tai pienempi kuin - 165 00:07:59,610 --> 00:08:04,701 korvataan jotain jota ei tule - 166 00:08:04,701 --> 00:08:05,951 haluaisin suurentaa täällä - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 Varsinainen et-merkki. 169 00:08:09,685 --> 00:08:13,420 Se korvaa niitä erityisiä HTML merkit, jotka näemme, kun olemme 170 00:08:13,420 --> 00:08:14,670 puhumme - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 Voi, tämä vie minut takaisin - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 nämä merkit täällä. 175 00:08:25,380 --> 00:08:28,180 >> Nämä merkitsevät, että jotain on tulossa. 176 00:08:28,180 --> 00:08:31,570 HTML, että alkaa kiinnike kertoo, että jotain 177 00:08:31,570 --> 00:08:33,299 HTML liittyvien on tulossa. 178 00:08:33,299 --> 00:08:33,980 Ja haluamme päästä eroon siitä. 179 00:08:33,980 --> 00:08:36,200 Emme halua laittaa HTML: website.k Emme halua, että käyttäjä 180 00:08:36,200 --> 00:08:40,260 voi laittaa jotain niiden verkkosivuilla jotka voivat vaikuttaa niiden verkkosivuilla, kuten 181 00:08:40,260 --> 00:08:43,480 kirjoitus tai HTML tai jotain sellaista. 182 00:08:43,480 --> 00:08:53,090 Tärkeää on, että olet puhdistaa käyttäjä syöttää. 183 00:08:53,090 --> 00:08:54,720 >> Joten käyttäjät voivat syöttää monia asioita. 184 00:08:54,720 --> 00:08:58,110 Hän voi syöttää nippu tavaraa kokeilla huijata selaimen osaksi vielä 185 00:08:58,110 --> 00:08:59,410 tätä käsikirjoitusta koodi. 186 00:08:59,410 --> 00:09:02,870 Mitä haluat tehdä, on vain katsoa käsikirjoituksen, mutta näyttää kaiken 187 00:09:02,870 --> 00:09:04,250 että voisi olla ilkeä. 188 00:09:04,250 --> 00:09:06,800 Ja htmlspecialchars tekee sen sinulle, joten sinun ei tarvitse 189 00:09:06,800 --> 00:09:07,340 huolehtia siitä. 190 00:09:07,340 --> 00:09:12,280 Mutta älä yritä tehdä itse tavallaan oman koodin. 191 00:09:12,280 --> 00:09:14,055 Ovatko kaikki selvä XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Mennään SQL injection. 194 00:09:16,355 --> 00:09:21,010 Joten SQL-injektio on luultavasti numero yksi haavoittuvuus 195 00:09:21,010 --> 00:09:22,490 eri verkkosivustoja. 196 00:09:22,490 --> 00:09:24,350 Tarkoitan, hyvä esimerkki - 197 00:09:24,350 --> 00:09:27,350 Olin juuri tutkimassa kauimpana tämän asian. 198 00:09:27,350 --> 00:09:34,430 Ja löysin tämä mahtava artikkeli, jossa Huomasin, että Harvard on rikottu, 199 00:09:34,430 --> 00:09:35,390 oli hakkeroitu. 200 00:09:35,390 --> 00:09:37,370 Ja ihmettelin, hyvin, miten he tekevät sen? 201 00:09:37,370 --> 00:09:41,660 Harvardin upein, useimmat turvata yliopiston koskaan. 202 00:09:41,660 --> 00:09:43,850 Oikea? 203 00:09:43,850 --> 00:09:45,410 No, rikkomaan palvelimet, hakkerit käyttää 204 00:09:45,410 --> 00:09:47,710 tekniikkaa kutsutaan SQL-injektio. 205 00:09:47,710 --> 00:09:50,250 >> Joten tämä tapahtuu päivittäin. 206 00:09:50,250 --> 00:09:53,590 Ihmiset unohtavat ottaa huomioon SQL injektio. 207 00:09:53,590 --> 00:09:54,930 Harvardin tekee. 208 00:09:54,930 --> 00:10:00,050 Mielestäni tässä sanotaan, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Miten siis - niin mitä tämä on SQL injektio, joka tuo kaikki nämä 210 00:10:03,550 --> 00:10:05,668 ihmisiä alas? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Joten SQL on ohjelmointikieli, joka käytämme pääsyn tietokantoihin. 213 00:10:12,090 --> 00:10:14,560 Mitä teemme, on meidän valita - 214 00:10:14,560 --> 00:10:18,510 Joten tässä lukee juuri nyt on valitse kaiken pöytä. 215 00:10:18,510 --> 00:10:22,640 >> SQL, se muuttuu näitä tietokantoja että on pöydät täynnä tietoa. 216 00:10:22,640 --> 00:10:26,550 Joten valitse kaikkea käyttäjää jos nimi on käyttäjätunnus. 217 00:10:26,550 --> 00:10:28,120 Oikea? 218 00:10:28,120 --> 00:10:30,770 Helpolta. 219 00:10:30,770 --> 00:10:34,490 Ajatus SQL-injektio on, että me lisätä joitakin haitallista koodia, joka olisi 220 00:10:34,490 --> 00:10:37,270 huijata palvelimelle käynnissä jotain erilainen kuin mitä se 221 00:10:37,270 --> 00:10:38,430 alun perin oli käynnissä. 222 00:10:38,430 --> 00:10:44,970 Joten sanotaanko käyttäjätunnuksen, panemme tai 1 vastaa 1. 223 00:10:44,970 --> 00:10:46,700 Joten laitamme tai 1 vastaa 1. 224 00:10:46,700 --> 00:10:49,890 Miten se lukee nyt tulee valita käyttäjiltä, ​​kaiken 225 00:10:49,890 --> 00:10:51,360 käyttäjille - tämä on kaikki - 226 00:10:51,360 --> 00:10:55,880 missä nimi on käyttäjätunnus, mutta käyttäjätunnus on tai 1 vastaa 1. 227 00:10:55,880 --> 00:11:01,760 >> Joten nimi ei ole mitään tai 1 vastaa 1. 228 00:11:01,760 --> 00:11:04,060 1 vastaa 1 on aina totta. 229 00:11:04,060 --> 00:11:07,690 Joten tämä palaa aina tietoa käyttäjiltä. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Meidän ei tarvitse olla oikea käyttäjätunnus. 232 00:11:10,030 --> 00:11:14,240 Voimme vain olla mitään, että haluamme, ja se palaa tiedot 233 00:11:14,240 --> 00:11:15,690 että me tarvitsemme. 234 00:11:15,690 --> 00:11:17,160 Katsotaan toinen esimerkki. 235 00:11:17,160 --> 00:11:22,720 >> Jos olemme valita kaiken käyttäjä, missä nimi on DROP TABLE käyttäjille - 236 00:11:22,720 --> 00:11:26,420 niin mitä luulet tämän tahtoa tehdä, jos laitoin käyttäjätunnus 237 00:11:26,420 --> 00:11:29,560 kuten DROP TABLE käyttäjille? 238 00:11:29,560 --> 00:11:30,230 Kellään idea? 239 00:11:30,230 --> 00:11:31,050 Kyllä. 240 00:11:31,050 --> 00:11:32,470 >> Yleisö: Se tulee kertoa se upottaa kaikki taulukot. 241 00:11:32,470 --> 00:11:35,460 >> LUCIANO ARANGO: Se tulee kertomaan meille upottaa kaiken verkkosivuilla, 242 00:11:35,460 --> 00:11:38,290 Kaikki tietokantaan. 243 00:11:38,290 --> 00:11:41,910 Ja mitä ihmiset käyttävät tätä - niin Aion näyttää teille. 244 00:11:41,910 --> 00:11:45,462 Poistin pudottamalla taulukoita koska en halua sinua 245 00:11:45,462 --> 00:11:48,240 kaverit pudotan taulukoita. 246 00:11:48,240 --> 00:11:49,850 Katsotaanpa katsomaan tätä. 247 00:11:49,850 --> 00:11:54,410 Joten tämä yksinkertaisesti vetää ylös tiedot tietyn henkilön. 248 00:11:54,410 --> 00:11:57,550 Joten mistä me tiedämme, jos tämä on vaikuttaa SQL-injektio. 249 00:11:57,550 --> 00:12:01,545 Aiomme tarkistaa todella nopeasti jos voimme laittaa jotain - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 haluan kopioida tätä koodia. 252 00:12:06,080 --> 00:12:08,140 Aion mennä yli sen toisen. 253 00:12:08,140 --> 00:12:12,210 Aion laittaa juuri ja 1 vastaa 1. 254 00:12:12,210 --> 00:12:15,510 >> Tämä täällä, tämä prosenttimerkki 23 - 255 00:12:15,510 --> 00:12:19,970 mitä se todella on, jos olen näytä oikealta täällä - 256 00:12:19,970 --> 00:12:23,820 miten HTML vie numerot, jos katsomaan kun laitoin avaruudessa 257 00:12:23,820 --> 00:12:28,380 täällä - jos olisin avaruuteen jotain täällä, se muuttuu sen prosenttia 2. 258 00:12:28,380 --> 00:12:31,420 Onko teillä näet tämän täällä kun laitoin tilaa? 259 00:12:31,420 --> 00:12:36,710 Miten se toimii on, että voit vain Lähetä ASCII arvot läpi HTML. 260 00:12:36,710 --> 00:12:40,330 Niin se korvaa, esimerkiksi tilaa prosenttia 20. 261 00:12:40,330 --> 00:12:41,970 En tiedä, jos te ovat nähneet, että ennen. 262 00:12:41,970 --> 00:12:45,100 >> Se korvaa hashtag kanssa prosenttia 23. 263 00:12:45,100 --> 00:12:50,840 Meidän on hashtag lopussa tai lausuma jotta voimme kertoa 264 00:12:50,840 --> 00:13:00,885 tietokanta unohtaa kommentoida ulos tämä viimeinen puolipiste lopussa. 265 00:13:00,885 --> 00:13:03,060 Haluamme, että se ei ajatella, että. 266 00:13:03,060 --> 00:13:05,980 Haluamme vain se ajaa kaiken että meillä on etukäteen ja 267 00:13:05,980 --> 00:13:07,450 kommentti, että ulos. 268 00:13:07,450 --> 00:13:08,710 Katsotaanpa katsomaan sitä. 269 00:13:08,710 --> 00:13:14,670 >> Joten jos olisin laittaa jotain vikaa - sanotaanko esimerkiksi laitoin 2 tasavertaisina 270 00:13:14,670 --> 00:13:15,690 1, se ei anna minulle mitään. 271 00:13:15,690 --> 00:13:22,930 Kun laitoin 1 on 1, ja se tekee palata jotain, tämä kertoo minulle, että 272 00:13:22,930 --> 00:13:24,660 tämä on altis SQL-injektio. 273 00:13:24,660 --> 00:13:29,090 Tiedän nyt, että mitä tahansa Laitoin tämän jälkeen - 274 00:13:29,090 --> 00:13:39,110 ja pudota esimerkiksi TAULUKOT tai jotain 275 00:13:39,110 --> 00:13:41,190 varmasti toimii. 276 00:13:41,190 --> 00:13:44,350 Tiedän, se on altis SQL-injektio koska tiedän, että 277 00:13:44,350 --> 00:13:49,850 alla huppu, se antaa minua tekemään 1 on 1 asia. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> Ja jos katsomme näitä muista poikkeava, kakkonen ja kolmonen, se on 281 00:13:56,540 --> 00:13:59,110 aikoo tehdä hieman enemmän tarkkailun alla 282 00:13:59,110 --> 00:14:03,680 huppu, mitä se on. 283 00:14:03,680 --> 00:14:07,425 Joten kuka tahansa mahdollistavat pudota vielä mitään tai yrittänyt? 284 00:14:07,425 --> 00:14:08,760 Onko teillä tavallaan saada SQL vielä? 285 00:14:08,760 --> 00:14:10,430 Koska tiedän, teillä ei nähnyt sitä vielä, joten se on eräänlainen 286 00:14:10,430 --> 00:14:11,759 hämmentää teitä. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Katsotaanpa katsomaan. 289 00:14:18,480 --> 00:14:21,270 Niin mitä tapa estää SQLI? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Joten tämä on todella tärkeää, koska et kaverit varmasti halua estää 292 00:14:23,330 --> 00:14:24,090 tämä verkkosivustoja. 293 00:14:24,090 --> 00:14:28,040 >> Jos ei, kaikki ystäväsi ovat menossa pilkata sinua, kun ne pudottaa kaikki 294 00:14:28,040 --> 00:14:29,390 pöydät. 295 00:14:29,390 --> 00:14:36,150 Joten ajatus on, että olet korjannut SQL tietyllä tavalla, kun taas te ottelu 296 00:14:36,150 --> 00:14:41,940 mitä käyttäjä syöttää kanssa tiettyjä merkkijono. 297 00:14:41,940 --> 00:14:46,120 Joten miten tämä toimii on valmistella tietokantaan. 298 00:14:46,120 --> 00:14:50,830 Voit valita nimi, väri, ja kaloreita tietokannasta nimeltään hedelmiä. 299 00:14:50,830 --> 00:14:53,580 Ja sitten jos kaloreita on vähemmän kuin, ja laitoimme kysymysmerkki siellä 300 00:14:53,580 --> 00:14:56,530 sanoen aiomme tulo jotain toista. 301 00:14:56,530 --> 00:14:58,850 >> Ja väri on sama, ja laitamme kysymys Mark sanoen aiomme 302 00:14:58,850 --> 00:15:00,913 input jotain toista samoin. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 Ja sitten me toteuttaa sen, mikä 150 ja punainen. 305 00:15:09,920 --> 00:15:12,820 Ja tämä tarkista Varmista, että nämä kaksi - 306 00:15:12,820 --> 00:15:15,300 Tämän array tarkastavat kyseisten kaksi on kokonaisluku, ja 307 00:15:15,300 --> 00:15:16,550 , että tämä on merkkijono. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Sitten mennään, ja noudamme kaikki, laitamme sen punaisella. 310 00:15:20,890 --> 00:15:21,964 Se tarkoittaa, että noudettava kaikki. 311 00:15:21,964 --> 00:15:26,790 Se tarkoittaa me itse suorittaa SQL selvitys ja laita se takaisin punaisella. 312 00:15:26,790 --> 00:15:30,530 Täällä teemme saman, mutta me tehdä saman keltainen. 313 00:15:30,530 --> 00:15:32,490 Ja noudamme kaikki. 314 00:15:32,490 --> 00:15:36,140 >> Ja tällä tavalla, me estää käyttäjää siitä, että voin syöttää jotain 315 00:15:36,140 --> 00:15:41,710 että me emme määritelty, merkkijono tai kokonaisluku, esimerkiksi. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Puhuin aiemmin siitä luottaa muihin. 318 00:15:46,610 --> 00:15:50,010 Kun kaverit aloitat projektin, olet aivan varmasti aio käyttää 319 00:15:50,010 --> 00:15:52,310 bootstrap tai jotain vastaavaa. 320 00:15:52,310 --> 00:15:53,490 Oletteko koskaan käyttänyt Wordpress? 321 00:15:53,490 --> 00:15:57,170 Luultavasti te käyttänyt Wordpress todennäköisimmin. 322 00:15:57,170 --> 00:16:00,050 Joten ongelma käyttäessäsi muiden ihmisten asioita - 323 00:16:00,050 --> 00:16:05,940 Olen juuri menossa Google todella nopeasti Wordpress haavoittuvuutta. 324 00:16:05,940 --> 00:16:07,495 >> Jos vedän tämän juuri nyt - 325 00:16:07,495 --> 00:16:08,995 Olen kirjaimellisesti teki kahden sekunnin Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Voimme nähdä, että Wordpress - 328 00:16:13,800 --> 00:16:17,450 tämä on päivätty syyskuussa '12. 329 00:16:17,450 --> 00:16:19,120 26 päivitetään. 330 00:16:19,120 --> 00:16:23,620 Oletuskokoonpanoon Wordpress ennen 3.6 ei estä näitä 331 00:16:23,620 --> 00:16:27,110 tietyt lisäykset, jotka saattaisivat helpottaa 332 00:16:27,110 --> 00:16:29,790 cross-site scripting-hyökkäyksiä. 333 00:16:29,790 --> 00:16:34,530 Joten nopea tarina, kun työskentelimme kanssa - joten olin, kesällä, työ 334 00:16:34,530 --> 00:16:34,970 työharjoittelu. 335 00:16:34,970 --> 00:16:40,400 Ja me työskentelivät eräänlainen isolta luottokorttiyhtiö. 336 00:16:40,400 --> 00:16:42,020 >> Ja he luottavat jotain kutsutaan - 337 00:16:42,020 --> 00:16:45,740 En tiedä, jos te koskaan pelannut tuotteen nimeltä Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla on tuote, jota käytetään ohjaus - tavallaan samanlainen 339 00:16:51,750 --> 00:16:54,340 Wordpress, käytetään rakentaa verkkosivustoja. 340 00:16:54,340 --> 00:16:56,060 Joten heillä oli verkkosivuilla työskentelevät Joomla. 341 00:16:56,060 --> 00:16:59,290 Tämä on oikeastaan ​​luottokortin Yhtiö Kolumbiassa. 342 00:16:59,290 --> 00:17:01,000 Vien sinut heidän verkkosivuilla todella nopeasti. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Joten he käyttivät Joomla. 345 00:17:05,400 --> 00:17:08,630 Ja ne ei ollut päivittänyt Joomla on uusin tulokas. 346 00:17:08,630 --> 00:17:12,160 Ja niin kun olimme vilkaisemalla koodia, pystyimme itse 347 00:17:12,160 --> 00:17:18,430 mennä sisälle koodiaan ja varastaa kaikki luottokortin tiedot, että he olivat, 348 00:17:18,430 --> 00:17:21,670 kaikki luottokortin numeroita, nimet, osoitteet. 349 00:17:21,670 --> 00:17:22,740 Ja tämä oli vain - 350 00:17:22,740 --> 00:17:23,569 ja niiden koodi oli täysin kunnossa. 351 00:17:23,569 --> 00:17:24,710 Heillä oli suuri koodi. 352 00:17:24,710 --> 00:17:25,389 Se oli kaikkien turvallisuutta. 353 00:17:25,389 --> 00:17:26,520 He tarkistivat kaikki tietokannat. 354 00:17:26,520 --> 00:17:29,020 He varmistivat cross-site scripting oli hieno. 355 00:17:29,020 --> 00:17:34,390 >> Mutta he käyttivät jotain, joka ei ollut päivitetty, tuo ei ollut turvallista. 356 00:17:34,390 --> 00:17:36,940 Ja niin, että johti heidät - niin te varmasti menossa käyttää muita 357 00:17:36,940 --> 00:17:40,650 ihmisten koodi, muiden ihmisten puitteiden rakentaa oman sivuston. 358 00:17:40,650 --> 00:17:43,860 Varmista, että ne on turvallinen, koska joskus se et ole sinä, joka 359 00:17:43,860 --> 00:17:44,480 tekee virheen. 360 00:17:44,480 --> 00:17:47,440 Mutta joku muu tekee virheen, ja sitten putoat takia. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Salasanat ja PII. 363 00:17:53,885 --> 00:17:56,820 Joten salasanoja. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Katsotaanpa katsomaan salasanat todella nopeasti. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Kerro minulle, että kaikille käyttää Secure - 369 00:18:06,520 --> 00:18:09,030 Toivon kaikille täällä käyttää turvallisia salasanoja. 370 00:18:09,030 --> 00:18:12,890 Olen vain kerroit, että niin oletus. 371 00:18:12,890 --> 00:18:14,850 Joten te varmasti menossa tallentaa salasanoja sivustot. 372 00:18:14,850 --> 00:18:17,440 Aiot tehdä jotain login tai jotain. 373 00:18:17,440 --> 00:18:19,610 Mikä on tärkeää, ei pidä säilyttää salasanoja tekstimuodossa. 374 00:18:19,610 --> 00:18:20,860 Tämä on erittäin tärkeää. 375 00:18:20,860 --> 00:18:23,960 Et halua tallentaa salasanan selväkielisenä. 376 00:18:23,960 --> 00:18:27,370 >> Ja et varmasti oikeasti halua tallentaa se yksi tapa hash. 377 00:18:27,370 --> 00:18:32,440 Joten mitä yksi tapa hajautus on, että kun tuottaa sana, kun laitat tämän 378 00:18:32,440 --> 00:18:36,200 sanan hash funktio, se luoda back jonkinlainen kryptinen 379 00:18:36,200 --> 00:18:39,390 viestin tai kryptinen avaimet. 380 00:18:39,390 --> 00:18:40,640 Näytän teille esimerkin. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Aion hash he sanan password1. 383 00:18:50,250 --> 00:18:55,280 Joten MD5 aikoo palata minulle jonkinlainen outo tietoa. 384 00:18:55,280 --> 00:18:59,140 >> Ongelmana on, että ihmiset siellä jotka haluavat mennä sivustot ovat 385 00:18:59,140 --> 00:19:02,750 jo tajunnut sort Kaikkien md5 hash. 386 00:19:02,750 --> 00:19:06,030 Mitä he on he istuivat niiden tietokoneita, ja ne risu joka 387 00:19:06,030 --> 00:19:09,660 yksi mahdollinen sana siellä, kunnes he saivat tavallaan, mitä tämä on. 388 00:19:09,660 --> 00:19:11,420 Jos minun pitäisi etsiä tähän asti - 389 00:19:11,420 --> 00:19:12,420 Minä vain tarttui tätä hash. 390 00:19:12,420 --> 00:19:14,120 Jos saan tämän hash alkaen - 391 00:19:14,120 --> 00:19:17,470 jos menen verkkosivuilla, ja pidän Tämän hash koska saan 392 00:19:17,470 --> 00:19:24,100 tietokannat, ja odotan sitä, joku jo tajunnut sen minulle. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Joo. 395 00:19:29,100 --> 00:19:35,030 Niin kansa istui, ja mitä md5 hash että asetat, he aikovat 396 00:19:35,030 --> 00:19:37,760 palata sinulle jotain että on sana. 397 00:19:37,760 --> 00:19:39,800 Jos minä hash toinen sana, kuten - 398 00:19:39,800 --> 00:19:42,410 En tiedä - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 En halua olla pettynyt minun Google-hakuja. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Siinä se on, trees2. 403 00:19:52,780 --> 00:19:55,930 Niin paljon sivustoja silti käyttää md5 hash. 404 00:19:55,930 --> 00:19:57,730 He sanovat, oi, se on turvallinen. 405 00:19:57,730 --> 00:19:58,570 Emme tallentaminen tekstimuodossa. 406 00:19:58,570 --> 00:19:59,740 Meillä on tämä md5 hash. 407 00:19:59,740 --> 00:20:01,880 Ja kaikki minun täytyy tehdä, on vain Google numero. 408 00:20:01,880 --> 00:20:03,940 >> En edes tarvitse laskea itseäni. 409 00:20:03,940 --> 00:20:06,790 Voin vain googlettaa, ja joku jo teki sen minulle. 410 00:20:06,790 --> 00:20:08,010 Tässä nippu niitä. 411 00:20:08,010 --> 00:20:09,260 Tässä nippu salasanoja. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Niin ehdottomasti älä käytä md5 hash, koska kaikki mitä on 414 00:20:18,680 --> 00:20:19,140 vain googlettaa. 415 00:20:19,140 --> 00:20:20,390 Joten mitä haluat käyttää sen sijaan? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Jotain kutsutaan suolaus. 419 00:20:31,260 --> 00:20:32,460 Joten mitä suolaus on - 420 00:20:32,460 --> 00:20:36,280 te olette Muistatko, kun olimme puhutaan satunnaisesti - 421 00:20:36,280 --> 00:20:37,920 En ole varma, mitä PSET se oli - 422 00:20:37,920 --> 00:20:41,140 on se PSET siellä tai neljä? 423 00:20:41,140 --> 00:20:45,150 >> Puhuimme löytää neulaa heinäsuovasta. 424 00:20:45,150 --> 00:20:48,480 Ja PSET, se sanoi, että voisit todella selvittää, mitä satunnainen 425 00:20:48,480 --> 00:20:51,840 generoi koska joku on jo juossut satunnainen miljoonaa kertaa ja vain 426 00:20:51,840 --> 00:20:53,230 tavallaan muodostettu, mitä ne tuottavat. 427 00:20:53,230 --> 00:20:55,840 Mitä haluat tehdä, on laittaa tulo. 428 00:20:55,840 --> 00:20:57,130 Niin, että mitä suolaus tavallaan on. 429 00:20:57,130 --> 00:21:00,900 Ne on jo tajunnut, mitä suolaus palauttaa jokaisen työtä. 430 00:21:00,900 --> 00:21:04,750 >> Joten mikä suolaus tekee, on laitat suolaa. 431 00:21:04,750 --> 00:21:06,160 Laitat tietty sana. 432 00:21:06,160 --> 00:21:09,720 Ja se hash että sana riippuen siitä, mitä laittaa tänne. 433 00:21:09,720 --> 00:21:13,570 Joten jos olen hash salasana yksi tämän lause, se tulee hash 434 00:21:13,570 --> 00:21:17,180 toisin, jos minä hash password1 kanssa eri lauseen. 435 00:21:17,180 --> 00:21:21,670 Se tavallaan antaa sille jonnekin Aloita hajakoodausmenettelyyn alkaa. 436 00:21:21,670 --> 00:21:25,970 Joten se on paljon vaikeampi laskea, mutta voi vielä laskea, varsinkin 437 00:21:25,970 --> 00:21:26,830 jos käytät huono suolaa. 438 00:21:26,830 --> 00:21:29,650 >> Ihmiset ovat jo myös tajunnut yhteinen suolat ja tajunnut 439 00:21:29,650 --> 00:21:31,500 mitä se on. 440 00:21:31,500 --> 00:21:34,980 Satunnainen suolat ovat paljon parempia, mutta paras tapa on käyttää 441 00:21:34,980 --> 00:21:38,160 jotain kutsutaan kryptassa. 442 00:21:38,160 --> 00:21:40,480 Ja mitä krypta voit do - joten nämä toiminnot ovat 443 00:21:40,480 --> 00:21:41,820 jo rakennettu sinulle. 444 00:21:41,820 --> 00:21:44,910 Monet ihmiset unohtavat, että tai he unohtavat käyttää sitä. 445 00:21:44,910 --> 00:21:54,520 Mutta jos katson ylös krypta PHP, crypt jo palauttaa hash merkkijono minulle. 446 00:21:54,520 --> 00:21:58,790 Ja se todella dannaisiin sen monta kertaa ja hash sen monta kertaa. 447 00:21:58,790 --> 00:22:00,070 >> Joten meidän ei tarvitse tehdä tätä. 448 00:22:00,070 --> 00:22:04,790 Joten sinun tarvitsee vain Lähetä se kryptassa. 449 00:22:04,790 --> 00:22:08,170 Ja se luo suurta hash ilman sinun tarvitse murehtia suolaa 450 00:22:08,170 --> 00:22:08,990 tai jotain. 451 00:22:08,990 --> 00:22:12,000 Koska jos olit suolaa, sinun täytyy muistaa, mitä suolaa käytit 452 00:22:12,000 --> 00:22:13,800 koska jos ei, et voi saada salasanan takaisin ilman 453 00:22:13,800 --> 00:22:15,760 suolaa, jota käytit. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> Ja myös henkilökohtaisia ​​tunnistettavia tietoja. 457 00:22:23,150 --> 00:22:26,730 Joten sosiaaliturva, luottokortti - se on aika selvää. 458 00:22:26,730 --> 00:22:31,880 Mutta joskus ihmiset unohtavat miten se teoksia on, kuinka paljon tietoa sinä 459 00:22:31,880 --> 00:22:35,690 todella täytyy löytää joku henkilö? 460 00:22:35,690 --> 00:22:37,740 Joku teki tutkimuksen siitä, tällä tavalla takaisin. 461 00:22:37,740 --> 00:22:40,870 Ja se oli kuin, jos sinulla on koko nimi, et löydä 462 00:22:40,870 --> 00:22:41,610 joku, joka helposti. 463 00:22:41,610 --> 00:22:43,900 Mutta mitä jos sinulla on täydellinen nimi ja syntymäaika? 464 00:22:43,900 --> 00:22:47,770 Riittääkö tunnistaa joku erityisesti? 465 00:22:47,770 --> 00:22:52,760 >> Mitä jos sinulla on nimensä ja katuosoite, että he elävät? 466 00:22:52,760 --> 00:22:55,110 Riittääkö löytää joku? 467 00:22:55,110 --> 00:23:02,490 Ja silloin he kysymys, mikä on henkilökohtaisia ​​tunnistettavia tietoja, ja 468 00:23:02,490 --> 00:23:05,360 mitä sinun pitäisi pelätä ei lahjoittaa? 469 00:23:05,360 --> 00:23:08,770 Jos annat pois henkilökohtaisia ​​tunnistettavia tietoa, että joku antaa sinulle, 470 00:23:08,770 --> 00:23:11,420 sinulla voisi mahdollisesti saada haastaa. 471 00:23:11,420 --> 00:23:12,610 Ja emme todellakaan halua. 472 00:23:12,610 --> 00:23:14,955 >> Joten kun olet laskemisesta sivustosi ulos, ja olet todella cool 473 00:23:14,955 --> 00:23:17,230 suunnittelu, toivottavasti olet tehnyt mahtava opinnäytetyön. 474 00:23:17,230 --> 00:23:18,370 Mikään olet tavallaan haluat laita se siellä. 475 00:23:18,370 --> 00:23:21,420 Haluat varmista, että mitä olet ottaen käyttäjältä, jos se on 476 00:23:21,420 --> 00:23:25,310 henkilökohtaisia ​​tunnistettavia tietoja, sinua haluavat varmistaa, että olet ollut täysin 477 00:23:25,310 --> 00:23:26,560 varovainen sen kanssa. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Kuori injektio. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Shell injektion avulla tunkeutujan päästä käsiksi todellinen komentoriviltä 482 00:23:37,590 --> 00:23:39,660 oman palvelimen. 483 00:23:39,660 --> 00:23:44,060 Ja niin hän pystyy suorittamaan koodia että et voi hallita. 484 00:23:44,060 --> 00:23:49,560 Otetaanpa esimerkki tästä kaunis string täällä. 485 00:23:49,560 --> 00:23:55,570 Jos menemme sivustolla uudelleen, olen aio mennä koodininjektiomoduuli. 486 00:23:55,570 --> 00:23:58,910 Joten mitä tämä tekee on - 487 00:23:58,910 --> 00:24:00,420 se on myös mitä olimme katsot ennen. 488 00:24:00,420 --> 00:24:11,200 Olemme kerroit käyttäjä ei missä tahansa hän haluaa, ja se tulostaa ne 489 00:24:11,200 --> 00:24:12,220 mitä haluat. 490 00:24:12,220 --> 00:24:13,890 >> Joten aion laittaa puhelun. 491 00:24:13,890 --> 00:24:15,540 Mikä tämä on - 492 00:24:15,540 --> 00:24:16,940 se alkaa ketjuttamalla. 493 00:24:16,940 --> 00:24:19,520 Joten se anna minun ajaa mitä tahansa komento henkilön käynnissä 494 00:24:19,520 --> 00:24:21,500 ennen ja minun komento. 495 00:24:21,500 --> 00:24:23,980 Ja olen käynnissä järjestelmän komennon. 496 00:24:23,980 --> 00:24:27,310 Ja nämä viimeiset jouset ovat - muista mitä puhuin teille noin, 497 00:24:27,310 --> 00:24:31,725 ottaa huomioon, että sinun täytyy koodata se URL menetelmällä. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Jos minä suorittaa tämän nyt - 500 00:24:36,992 --> 00:24:39,150 Minä näytän sinulle tänne - 501 00:24:39,150 --> 00:24:41,100 näet, että päädyin up käynnissä komennon. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Tämä on itse asiassa todellinen palvelin että minun verkkosivuilla on käynnissä. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Joten emme halua, että koska voin ajaa - 506 00:24:58,510 --> 00:25:00,320 Tämä palvelin ei ole minun. 507 00:25:00,320 --> 00:25:04,030 Joten en halua sotkea hänen sisko, Marcus palvelimelle. 508 00:25:04,030 --> 00:25:07,470 Mutta voit ajaa enemmän komentoja jotka ovat vaarallisia. 509 00:25:07,470 --> 00:25:11,885 Ja mahdollisesti voisit poistaa tiedostoja, poistaa hakemistoja. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Voin poistaa tiettyjä hakemiston, jos Halusin, mutta en halua 512 00:25:17,970 --> 00:25:19,530 tehdä, että Marcus. 513 00:25:19,530 --> 00:25:20,420 Hän on mukava kaveri. 514 00:25:20,420 --> 00:25:21,470 Hän antoi minun lainata hänen tarjoilija. 515 00:25:21,470 --> 00:25:24,620 Joten aion antaa hänen pois hyvä. 516 00:25:24,620 --> 00:25:32,280 >> Joten mitä emme halua käyttää - emme haluat käyttää eval tai järjestelmän. 517 00:25:32,280 --> 00:25:34,755 Eval tai järjestelmän avulla voimme nämä systeemikutsut. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval keinoja arvioida. 520 00:25:38,410 --> 00:25:40,790 Järjestelmä tarkoittaa sitä, mitä minä juoksin. 521 00:25:40,790 --> 00:25:42,490 Se ajaa jotain järjestelmään. 522 00:25:42,490 --> 00:25:46,730 Mutta voimme outlaw näitä asioita PHP jotta emme käytä niitä. 523 00:25:46,730 --> 00:25:47,400 Ja tiedostonlähetyskiintiö. 524 00:25:47,400 --> 00:25:49,180 Aioin tehdä mahtava juttu latauskiintiö. 525 00:25:49,180 --> 00:25:52,740 Mutta kuten sanoin teille, minun tiedosto upload asia ei toimi. 526 00:25:52,740 --> 00:25:54,590 Jos minun pitäisi ladata tiedoston juuri nyt - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 jos olisin ladata tiedoston, ja se kuva - 529 00:26:00,830 --> 00:26:03,180 sinulla on upload asia se kuva. 530 00:26:03,180 --> 00:26:03,660 Se on hyvä. 531 00:26:03,660 --> 00:26:04,280 Mitään ei tapahdu. 532 00:26:04,280 --> 00:26:10,840 >> Mutta jos sinulla on ladata tiedoston, Esimerkiksi, ja käyttäjä todella lisäykset 533 00:26:10,840 --> 00:26:19,220 PHP-tiedosto tai exe-tiedosto tai jotain kuin että, niin sinulla voisi mahdollisesti 534 00:26:19,220 --> 00:26:19,740 on ongelma. 535 00:26:19,740 --> 00:26:21,390 Tämä toimi ennen. 536 00:26:21,390 --> 00:26:25,202 Valitettavasti minulle, se on ei toimi enää. 537 00:26:25,202 --> 00:26:30,230 Jos minä esimerkiksi lataa tämä tiedosto, olen ei saada lupaa siirtää 538 00:26:30,230 --> 00:26:33,400 tiedosto johtuu palvelimeen ei ole minun. 539 00:26:33,400 --> 00:26:38,670 Joten kaveri on todella fiksu. 540 00:26:38,670 --> 00:26:39,610 >> Joten emme halua - 541 00:26:39,610 --> 00:26:40,130 Aion näyttää teille - 542 00:26:40,130 --> 00:26:41,840 OK, nämä ovat joitakin todella hienoja työkaluja. 543 00:26:41,840 --> 00:26:45,100 Joten nämä - 544 00:26:45,100 --> 00:26:47,715 mennä - jos teillä Firefox - toivottavasti et. 545 00:26:47,715 --> 00:26:54,260 On kaksi lisäosaa nimeltään SQL Injektoidaan Minä ja Cross-Site Script Me. 546 00:26:54,260 --> 00:26:56,870 Se avaa niin vähän puolella palkit. 547 00:26:56,870 --> 00:27:01,480 Ja jos olisin mennä CS60 esimerkiksi - 548 00:27:01,480 --> 00:27:04,210 niin mikä se on se näyttää kaikki muodot, - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 Toivottavasti en saa pulassa tähän. 551 00:27:08,760 --> 00:27:09,190 >> Mutta OK. 552 00:27:09,190 --> 00:27:12,600 Tässä pin järjestelmän. 553 00:27:12,600 --> 00:27:18,946 Joten kun aloitat etsivät reikiä järjestelmä, ensimmäinen asia mitä teen on 554 00:27:18,946 --> 00:27:21,820 avaa tämä kaunis pieni työkalun puolella. 555 00:27:21,820 --> 00:27:24,160 Ja aion testata lomakkeita auto hyökkäyksiä. 556 00:27:24,160 --> 00:27:28,510 Ja niin mitä tämä tekee on se hitaasti avata joukko selaimissa. 557 00:27:28,510 --> 00:27:29,930 Tässä nippu selaimissa. 558 00:27:29,930 --> 00:27:33,320 Ja se yrittää joka ikinen yhdistelmä ja cross-site scripting 559 00:27:33,320 --> 00:27:37,380 että siellä mahdollisesti on, jos näet puolella. 560 00:27:37,380 --> 00:27:42,080 >> Ja se antaa minulle tulos tavallaan, mikä vastaus on. 561 00:27:42,080 --> 00:27:42,860 Kaikki kulkea. 562 00:27:42,860 --> 00:27:43,910 Ilmeisesti he kaikki kulkevat. 563 00:27:43,910 --> 00:27:46,190 Tarkoitan, he todella älykäs ihmiset siellä. 564 00:27:46,190 --> 00:27:48,010 Mutta jos olisin juosta - 565 00:27:48,010 --> 00:27:52,050 Minulla on ollut kertaa ennen kun käytän tätä opiskelijoiden opinnäytetöissä. 566 00:27:52,050 --> 00:27:56,080 En yksinkertaisesti ajaa SQL Pistä Me kanssa kaikki erilaisia ​​hyökkäyksiä. 567 00:27:56,080 --> 00:28:00,080 Ja se yrittää SQL pistää Tämä pin-palvelin. 568 00:28:00,080 --> 00:28:03,590 Jos siis selaa alaspäin varten Esimerkiksi se sanoo - 569 00:28:03,590 --> 00:28:04,960 Tämä on hyvä, jos se palaa. 570 00:28:04,960 --> 00:28:08,250 >> Joten se kokeilleet joitakin tiettyjä arvoja. 571 00:28:08,250 --> 00:28:11,170 Ja se palautti koodi, joka oli negatiivinen. 572 00:28:11,170 --> 00:28:11,780 Poista tilapäisesti. 573 00:28:11,780 --> 00:28:13,030 Tämä on hyvä. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Se yrittää kaikki nämä testit. 576 00:28:20,750 --> 00:28:21,790 Joten voi yksinkertaisesti ajaa - 577 00:28:21,790 --> 00:28:27,860 Voisinpa löytää sivusto, todellinen nopeasti, että antaisi minun - 578 00:28:27,860 --> 00:28:29,110 ehkä CS50 myymälä. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Vau, tämä on menossa kestää aivan liian kauan. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Annan ensimmäinen testi ei viimeistelyssä. 583 00:28:55,130 --> 00:28:57,330 Niin se valittaa. 584 00:28:57,330 --> 00:28:58,470 Joten nämä kolme asiaa. 585 00:28:58,470 --> 00:29:00,430 Nämä työkalut ovat ilmaisia. 586 00:29:00,430 --> 00:29:03,960 Voit ladata ne ja ajaa ne sivuston, ja se kertoo, jos 587 00:29:03,960 --> 00:29:06,650 sinulla on cross-site scripting, jos sinulla on SQL, jos sinulla on 588 00:29:06,650 --> 00:29:07,900 jotain samankaltaista. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Olen tavallaan Messing ylös. 591 00:29:14,500 --> 00:29:15,550 >> Mikä on tärkeää - 592 00:29:15,550 --> 00:29:17,900 OK, niin ei koskaan luota käyttäjä. 593 00:29:17,900 --> 00:29:21,920 Riippumatta käyttäjä syöttää sinulle, tee Muista puhdistaa se, kun puhdistaa sitä, 594 00:29:21,920 --> 00:29:25,300 tarkistat oikeita asioita, että se antaa sinulle, mitä sinun 595 00:29:25,300 --> 00:29:28,240 halua häntä antamaan teille. 596 00:29:28,240 --> 00:29:32,460 Aina ajan tasalla siitä, mitä kehysten että olet todellisuudessa käyttävät. 597 00:29:32,460 --> 00:29:34,630 Jos käytät jotain bootstrap - 598 00:29:34,630 --> 00:29:36,340 Tiedän, te aiot käyttää bootstrap koska hän aikoo mennä 599 00:29:36,340 --> 00:29:38,140 tänä pian luokassa - 600 00:29:38,140 --> 00:29:43,120 ja Wordpress tai jotain, normaalisti tämä voitaisiin hakata. 601 00:29:43,120 --> 00:29:44,770 >> Ja sitten et edes tiedä. 602 00:29:44,770 --> 00:29:45,800 Olet juuri käynnissä sivuston. 603 00:29:45,800 --> 00:29:47,360 Ja se on täysin turvallinen. 604 00:29:47,360 --> 00:29:51,730 Ja mennä alas. 605 00:29:51,730 --> 00:29:54,000 Joten olen kalastuksesta todella aikaisin. 606 00:29:54,000 --> 00:29:55,770 Mutta haluan kiittää Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Aion näyttää teille jotain nimeltään Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Jos te todella kiinnostunut Mitä turvallisuus todella on, siellä 609 00:30:05,000 --> 00:30:07,300 sivuston nimeltä Pentest Labs jos te mennä sitä juuri nyt. 610 00:30:07,300 --> 00:30:10,730 No, se ei ole sitä. 611 00:30:10,730 --> 00:30:12,030 Olen juuri menossa ajaa sitä näin. 612 00:30:12,030 --> 00:30:14,400 Google kertoo minulle vastauksen. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 Ja se opettaa käyttää sinua - niin se sanoo, oppia web levinneisyys 615 00:30:19,030 --> 00:30:21,060 testaus oikealla tavalla. 616 00:30:21,060 --> 00:30:23,650 Se opettaa - 617 00:30:23,650 --> 00:30:25,150 toivottavasti olet eettinen henkilö. 618 00:30:25,150 --> 00:30:29,200 Mutta se opettaa sinulle, miten voit katsoa miten voit päästä sisälle sivustot. 619 00:30:29,200 --> 00:30:31,130 Ja jos opit miten voit päästä sisälle sivustot, voit opetella 620 00:30:31,130 --> 00:30:34,960 suojautua saamasta sisällä sivustot. 621 00:30:34,960 --> 00:30:39,100 Saanen zoomata koska ehkä te ei katsomalla tätä oikeutta. 622 00:30:39,100 --> 00:30:46,350 >> SQL injektio kuori, joten Lajittele kuinka saan SQL 623 00:30:46,350 --> 00:30:48,530 injektio kuori. 624 00:30:48,530 --> 00:30:53,890 Ja lataat tämän virtuaalikoneen. 625 00:30:53,890 --> 00:30:55,690 Ja virtuaalikone jo tulee kanssa verkkosivuilla, että olet 626 00:30:55,690 --> 00:30:56,780 aio kokeilla sitä. 627 00:30:56,780 --> 00:30:58,030 Lataat tämän PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 Ja se näyttää rivi riviltä mitä sinun täytyy tehdä, mitä tarkistaa. 630 00:31:08,370 --> 00:31:14,560 Tämä on mitä hyökkääjä todella ei päästä sisälle verkkosivuilla. 631 00:31:14,560 --> 00:31:15,750 >> Ja jotkut tätä kamaa on monimutkainen. 632 00:31:15,750 --> 00:31:17,520 Voisinpa mennä yli enemmän asioita teidän kanssa. 633 00:31:17,520 --> 00:31:21,090 Mutta pelkään, että te ole oikeastaan ​​- 634 00:31:21,090 --> 00:31:23,090 tämä on mitä menin kanssa te, web testit 635 00:31:23,090 --> 00:31:26,830 levinneisyys testaus. 636 00:31:26,830 --> 00:31:33,540 Eivät todellakaan tiedä, mitä SQL on ja mitä - 637 00:31:33,540 --> 00:31:35,960 Carl Jacksonin seminaari on mahtava myös. 638 00:31:35,960 --> 00:31:37,360 Te ette tiedä sort mitä tämä on. 639 00:31:37,360 --> 00:31:39,450 Mutta jos menet tällä sivustolla, ja voit ladata nämä oppitunnit ja nämä 640 00:31:39,450 --> 00:31:43,290 PDF, voit vilkaista eräänlainen mitä turvallisuuden alalla todella 641 00:31:43,290 --> 00:31:46,940 vuonna levinneisyys testaus, miten voit päästä sisälle sivustot ja suojaa 642 00:31:46,940 --> 00:31:48,020 itsesi siitä. 643 00:31:48,020 --> 00:31:56,360 >> Joten jos teen erittäin nopeasti yleiskuvan, se käy estää cross-site scripting. 644 00:31:56,360 --> 00:32:00,160 Haluat käyttää htmlspecialchars joka ajoittaa käyttäjä syöttää jotain. 645 00:32:00,160 --> 00:32:01,580 Estä SQL-injektio. 646 00:32:01,580 --> 00:32:04,510 Jos teet niin, olet jo paremmin kuin Harvard oli 647 00:32:04,510 --> 00:32:06,530 Kun he pääsivät rikottu. 648 00:32:06,530 --> 00:32:10,510 Ja varmista, että salasanat eivät ole pelkkää tekstiä. 649 00:32:10,510 --> 00:32:16,220 Varmista, et vain yksi tapa hash niitä, mutta että käytät krypta, PHP 650 00:32:16,220 --> 00:32:18,670 toiminto, näytin teille. 651 00:32:18,670 --> 00:32:20,060 Näin sinun pitäisi olla hyvä. 652 00:32:20,060 --> 00:32:25,830 >> Myös, jos ystäväsi voit, suorita SQL Pistä Me verkkosivuillaan. 653 00:32:25,830 --> 00:32:28,140 Suorita cross-site scripting verkkosivuillaan. 654 00:32:28,140 --> 00:32:33,720 Ja näet paljon näitä sivustoja on ton haavoittuvuuksia. 655 00:32:33,720 --> 00:32:40,400 On uskomatonta, kuinka paljon ihmiset unohtavat puhdistaa niiden tietokantoihin tai tehdä 656 00:32:40,400 --> 00:32:46,340 varma, mitä henkilön vieneelle ei ole script koodi. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Minä tavallaan päättyi todella aikaisin. 659 00:32:49,182 --> 00:32:56,510 Mutta jos jollakulla on kysyttävää mitään, voit ampua minut kysymys. 660 00:32:56,510 --> 00:32:56,630 Joo. 661 00:32:56,630 --> 00:32:56,970 Mene, mene. 662 00:32:56,970 --> 00:32:59,846 >> Yleisö: Haluan vain kysyä, voitteko selittää, miten tiedosto 663 00:32:59,846 --> 00:33:03,160 lataa tarkalleen toimii. 664 00:33:03,160 --> 00:33:03,480 >> LUCIANO ARANGO: Joo. 665 00:33:03,480 --> 00:33:06,350 Joten haluan näyttää sinulle tiedoston lataa todella nopeasti. 666 00:33:06,350 --> 00:33:11,300 Joten latauskiintiö - 667 00:33:11,300 --> 00:33:14,500 Ongelma wit latauskiintiö nyt on, että - 668 00:33:14,500 --> 00:33:18,541 Aion avata koodia niin te katso koodi kulissien takana. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 Ja se on ladata. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Tässä koodi Tiedosto Uploader. 673 00:33:31,560 --> 00:33:33,980 >> Yritämme mennä tähän hakemistoon tänne. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 Ja me yritämme, kun olemme tulo tiedosto, isset tiedosto - niin kun on 676 00:33:44,880 --> 00:33:50,900 tiedosto tiedostoihin, että kuva, sitten yritämme siirtää sen täällä. 677 00:33:50,900 --> 00:33:51,910 Me napata tiedoston tänne. 678 00:33:51,910 --> 00:33:58,350 Menetelmä on POST, tyyppi, kuvien ja tiedostojen. 679 00:33:58,350 --> 00:33:59,630 Ja lähetämme tämän tiedoston. 680 00:33:59,630 --> 00:34:03,910 Ja sitten kun saamme sen, joten kun tiedosto on kuva, yritämme lähettää sen 681 00:34:03,910 --> 00:34:05,060 tähän hakemistoon. 682 00:34:05,060 --> 00:34:09,814 >> Ongelmana on, että sivusto ei ole saan mennä tähän hakemistoon, 683 00:34:09,814 --> 00:34:12,239 koska se ei halua minun mennä takaisin. 684 00:34:12,239 --> 00:34:13,489 Se ei halua minun mennä - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Minun täytyy mennä - joten tässä on ladata. 687 00:34:17,070 --> 00:34:17,639 Tässä kuvia. 688 00:34:17,639 --> 00:34:21,780 Minun täytyy mennä aina takaisin alussa ja laita se siellä ja sitten 689 00:34:21,780 --> 00:34:23,820 mene ja laita se hakemistoon. 690 00:34:23,820 --> 00:34:30,000 Joten jos Juoksin pääteikkunaa ja halusin siirtää tiedoston - 691 00:34:30,000 --> 00:34:30,409 [Äänetön] 692 00:34:30,409 --> 00:34:32,159 voi nähdä sen. 693 00:34:32,159 --> 00:34:37,940 Jos haluaisin siirtää tiedoston, minulla on laittaa tiedoston nimi ja sitten 694 00:34:37,940 --> 00:34:40,860 täydellinen polku Haluan lähettää sen. 695 00:34:40,860 --> 00:34:45,110 >> Niin palvelin ei ole saan palata. 696 00:34:45,110 --> 00:34:46,929 Ja niin se ei päästä minua saamaan kyseisen tiedoston. 697 00:34:46,929 --> 00:34:47,670 Mutta normaalisti - 698 00:34:47,670 --> 00:34:49,360 joten siellä koodi lataamalla tiedosto. 699 00:34:49,360 --> 00:34:52,260 Joten yleensä käy niin, että henkilön ei tarkista jos tiedosto 700 00:34:52,260 --> 00:34:57,920 päättyy. jpeg, joten en haluaisi tarkistaa. 701 00:34:57,920 --> 00:35:00,054 Saanen avata esimerkiksi liian todella nopeasti. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Tämä henkilö oikeassa - 705 00:35:09,230 --> 00:35:11,980 joten esimerkiksi kaksi on tarkkailun jos preg_match - 706 00:35:11,980 --> 00:35:14,180 tässä se on täällä - 707 00:35:14,180 --> 00:35:19,660 varmistaa, että päättyy PHP, joka on hyvä. 708 00:35:19,660 --> 00:35:20,580 Tämä on hyvä. 709 00:35:20,580 --> 00:35:22,820 Mutta on todella iso Ongelmana tässä. 710 00:35:22,820 --> 00:35:24,600 Tämä on hyvä. 711 00:35:24,600 --> 00:35:44,190 Mutta jos olisin laittaa tiedosto nimeltä myfavoritepicture.php.jpeg, voisin 712 00:35:44,190 --> 00:35:50,060 vielä mahdollisesti päästä eroon jpeg ja ajaa it.k että PHP: n vaarallisia. 713 00:35:50,060 --> 00:35:53,850 Et halua henkilö voi suorittaa koodia sivustossasi. 714 00:35:53,850 --> 00:35:55,750 >> Mutta sitten. Jpeg antaa sen kulkea. 715 00:35:55,750 --> 00:36:00,720 Ajatuksena on, mitä todella haluat tehdä ei ota kuvaa, A. Mutta, OK, mitä 716 00:36:00,720 --> 00:36:07,500 todella haluat tehdä, on varmistaa, että luet koko maailmassa. 717 00:36:07,500 --> 00:36:08,720 Eikä siinä mitään. Php siinä. 718 00:36:08,720 --> 00:36:10,500 Ei ole. Php vuonna koko tiedoston nimi. 719 00:36:10,500 --> 00:36:12,780 >> Yleisö: Mutta voisit laittaa. jpeg päähän. 720 00:36:12,780 --> 00:36:15,830 Palvelimet silti ajaa koodia. 721 00:36:15,830 --> 00:36:16,870 >> LUCIANO ARANGO: Ei, se ei ajaa alussa. 722 00:36:16,870 --> 00:36:22,310 Sinun täytyy mennä takaisin ja yritä nähdä, jos voit - 723 00:36:22,310 --> 00:36:24,210 >> Yleisö: Meidän on siis - 724 00:36:24,210 --> 00:36:26,020 OK, vain toinen joukko, joka liittyy - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANO ARANGO: Joo. 726 00:36:26,936 --> 00:36:29,230 >> Yleisö: OK. 727 00:36:29,230 --> 00:36:31,486 >> LUCIANO ARANGO: Joo. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Muuta kysyttävää? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Aion jättää tätä ja lajitella ja yrittää nähdä, jos te voitte - 732 00:36:37,350 --> 00:36:40,490 toisilla on hieman enemmän monimutkainen, koska ne vaativat paljon 733 00:36:40,490 --> 00:36:44,050 Lisää tietoa SQL kuin vain alussa webin SQL on ja 734 00:36:44,050 --> 00:36:47,010 mitä JavaScript on. 735 00:36:47,010 --> 00:36:49,730 Mutta aion yrittää pitää tätä, ja toivottavasti te opit 736 00:36:49,730 --> 00:36:53,230 tästä ja yrittää kurkistaa mitä voit tehdä ja kuinka monia esimerkkejä 737 00:36:53,230 --> 00:36:54,420 voit saada läpi. 738 00:36:54,420 --> 00:36:56,020 >> Kellään mitään muita kysymyksiä siitä? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Mennä eteenpäin. 741 00:37:00,350 --> 00:37:01,170 Joo, ampua, ammu. 742 00:37:01,170 --> 00:37:01,580 Joo, mennä eteenpäin. 743 00:37:01,580 --> 00:37:01,850 Mennä eteenpäin. 744 00:37:01,850 --> 00:37:02,310 >> Yleisö: OK. 745 00:37:02,310 --> 00:37:08,870 Joten kuulin kuinka Taikuus Quotes eivät ole riittävän turvallinen. 746 00:37:08,870 --> 00:37:09,280 >> LUCIANO ARANGO: Mitä - 747 00:37:09,280 --> 00:37:10,110 Taikuutta Quotes? 748 00:37:10,110 --> 00:37:10,595 >> Yleisö: Joo. 749 00:37:10,595 --> 00:37:15,445 Joten se lisää - joten aina kun tulo jotain, se tuo aina lainausmerkkejä. 750 00:37:15,445 --> 00:37:15,930 >> LUCIANO ARANGO: Joo. 751 00:37:15,930 --> 00:37:16,000 Joo. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> Yleisö: Ja sitten ajattelin, että toimi, mutta sitten olen etsinyt sitä. 754 00:37:19,113 --> 00:37:21,648 Ja se sanoi, että se ei ole hyvä. 755 00:37:21,648 --> 00:37:23,050 Mutta en ole varma miksi. 756 00:37:23,050 --> 00:37:23,360 >> LUCIANO ARANGO: Joo. 757 00:37:23,360 --> 00:37:26,240 >> Yleisö: Älä käytä Magic-Quotes, koska se ei ole turvallista. 758 00:37:26,240 --> 00:37:26,360 >> LUCIANO ARANGO: OK. 759 00:37:26,360 --> 00:37:31,735 Joten Magic-Lainaukset on, kun asetat SQL ja se jo lisää tarjous sinulle. 760 00:37:31,735 --> 00:37:33,520 >> Yleisö: Se tuo aina lainauksia noin mitä laitat sisään 761 00:37:33,520 --> 00:37:34,210 >> LUCIANO ARANGO: Joo. 762 00:37:34,210 --> 00:37:37,190 Joten ongelma eli se, että - 763 00:37:37,190 --> 00:37:38,445 Tulen katsomaan - 764 00:37:38,445 --> 00:37:41,390 >> Yleisö: Miten se hankkii SQL-lause? 765 00:37:41,390 --> 00:37:44,690 Tai kai se voisi olla kuten lainaus valitse. 766 00:37:44,690 --> 00:37:49,030 >> LUCIANO ARANGO: Joo, tarvitset hyvä lainausmerkkejä SQL. 767 00:37:49,030 --> 00:37:52,900 >> Yleisö: Ei, mutta palvelin tekee sen puolestasi. 768 00:37:52,900 --> 00:37:54,460 >> LUCIANO ARANGO: Nämä pienet lainauksia täällä, nämä pienet lainausmerkit? 769 00:37:54,460 --> 00:37:55,670 >> Yleisö: Joo. 770 00:37:55,670 --> 00:37:56,450 >> LUCIANO ARANGO: Joo. 771 00:37:56,450 --> 00:37:59,860 Ongelmana on, että voit kommentti, viimeinen - 772 00:37:59,860 --> 00:38:05,770 OK, niin mitä voin tehdä, on voin kommentoida out - joten katsotaanpa katsomaan - haluan 773 00:38:05,770 --> 00:38:07,920 avata tekstiä muokata tiedostoa. 774 00:38:07,920 --> 00:38:09,610 Haluan vain muokata tätä täällä suoraan. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Voitteko nähdä, että selvästi? 778 00:38:23,710 --> 00:38:29,730 Mitä voin tehdä, on voin kommentoida ulos viimeinen. 779 00:38:29,730 --> 00:38:32,190 Tämä kommentti, viimeinen. 780 00:38:32,190 --> 00:38:36,760 Ja sitten laitan yhden täällä, laita kaikki ilkeä tavaraa täällä. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Joten käyttäjän on itse asiassa syöttämällä, eikö? 783 00:38:42,630 --> 00:38:45,230 Käyttäjän ei syöttämistä asioita, eikö? 784 00:38:45,230 --> 00:38:47,430 Tämä on mitä aion tulo kuin henkilö yrittää päästä sisälle. 785 00:38:47,430 --> 00:38:49,430 Aion laittaa - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 se on yksi lainausmerkki. 788 00:39:00,180 --> 00:39:01,760 Se on vain koukeroinen vahingossa. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 Ja mitä sitten koodi aikoo tehdä - 791 00:39:19,400 --> 00:39:20,190 pahoillani, aion ottaa tämän pois. 792 00:39:20,190 --> 00:39:22,170 Mitä koodi tulee tehdä, on se tulee lisätä ensin 793 00:39:22,170 --> 00:39:24,030 lainausmerkit täällä. 794 00:39:24,030 --> 00:39:26,040 Ja se tulee lisätä viimeisen lainausmerkki samoin. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> Ja se myös aikoo lisätä viime, viimeinen lainausmerkki. 797 00:39:33,270 --> 00:39:37,380 Mutta olen kommentoi näitä noteerausta viitoittaa, joten he eivät suorita. 798 00:39:37,380 --> 00:39:41,440 Ja olen viimeistely lainaus merkitä tänne. 799 00:39:41,440 --> 00:39:42,290 Ymmärrätkö? 800 00:39:42,290 --> 00:39:43,750 Oletko eksynyt? 801 00:39:43,750 --> 00:39:45,880 Voin kommentoida viimeinen kaupantekokurssi merkki, ja huolehtia 802 00:39:45,880 --> 00:39:46,680 ensimmäinen lainausmerkki. 803 00:39:46,680 --> 00:39:47,350 >> Yleisö: Ja juuri viimeistely ensimmäinen. 804 00:39:47,350 --> 00:39:47,480 >> LUCIANO ARANGO: Joo. 805 00:39:47,480 --> 00:39:48,400 Ja juuri loppuun ensimmäinen. 806 00:39:48,400 --> 00:39:48,790 Joo, aivan oikein. 807 00:39:48,790 --> 00:39:50,800 Se mitä voin tehdä. 808 00:39:50,800 --> 00:39:51,890 Joo. 809 00:39:51,890 --> 00:39:52,980 Muita kysymyksiä, kuten että? 810 00:39:52,980 --> 00:39:54,230 Se on hyvä kysymys. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Ei, kyllä, ehkä. 813 00:39:59,790 --> 00:40:06,150 Toivottavasti kaverit tavallaan tekee enemmän järkeä, kun tutkimus SQL ja 814 00:40:06,150 --> 00:40:06,650 tuollaista. 815 00:40:06,650 --> 00:40:07,980 Mutta varmista, että - 816 00:40:07,980 --> 00:40:10,340 pitää näitä välineitä katsella. 817 00:40:10,340 --> 00:40:12,760 Anteeksi, nämä työkalut tänne. 818 00:40:12,760 --> 00:40:14,200 Nämä työkalut ovat suuria. 819 00:40:14,200 --> 00:40:17,190 Jos jollakulla on kysyttävää, Voit myös lähettää minulle. 820 00:40:17,190 --> 00:40:19,020 Tämä on minun normaali sähköposti. 821 00:40:19,020 --> 00:40:25,015 Ja tämä on minun työni sähköposti, joka on, kun olen töissä Merellä. 822 00:40:25,015 --> 00:40:26,040 >> OK, kiitos. 823 00:40:26,040 --> 00:40:26,740 Kiitos kaverit. 824 00:40:26,740 --> 00:40:27,860 Olet hyvä mennä. 825 00:40:27,860 --> 00:40:28,830 Sinun ei tarvitse jäädä tänne. 826 00:40:28,830 --> 00:40:29,570 Älä taputa. 827 00:40:29,570 --> 00:40:30,170 Outoa. 828 00:40:30,170 --> 00:40:31,420 OK, kiitos, kaverit. 829 00:40:31,420 --> 00:40:32,320