લ્યુસિયાનો Arango: બરાબર, ગાય્સ. મારું નામ લ્યુસિયાનો Arango છે. હું એડમ્સ હાઉસ અભ્યાસ કરે છું. અને અમે વિશે વાત કરી રહ્યા છીએ વેબ સુરક્ષા સક્રિય સંરક્ષણ. તેથી હું માહિતીના કાર્યાલય માટે કામ સાગરમાં સુરક્ષા. અને ઉનાળામાં, હું ઇન્ટર્ન એક માહિતી હતી જે SeguraTec, સેવા આપી હતી કે સુરક્ષા કંપની કોલંબિયા બેન્ક માટે. હું શીખી છે કે મોટે ભાગે છે હું અત્યાર સુધી શીખી કર્યું છે. 

અને તેથી અમે છો કે સામગ્રી કેટલાક આજે પર જાઓ રહ્યું છે, અમે છે ખરેખર વર્ગ વિશે વાત કરી. પરંતુ અમે જલ્દી કરશે. તે એસક્યુએલ, જાવાસ્ક્રિપ્ટ જેવા જ હશે. અને અમે ખરેખર તે ઉપર ગયો નથી. તેથી હું તેના પર ફ્લાઇટની સૉર્ટ કરો, અને શકે તમે કેટલીક વસ્તુઓ ખબર પડી શકે. પરંતુ ટૂંક સમયમાં, તો તમે તેને જાણવા મળશે. અને તે બધા અર્થમાં બનાવવા પડશે. પણ અન્ય વસ્તુ - નૈતિક રહે છે. તમે જાણવા વસ્તુઓ છે કે જે અમુક, તમે બિન નૈતિક રીતે ઉપયોગ કરી શકે છે. 

તે તમારું છે, તો ચોક્કસપણે પ્રયાસ કરો. હું ચોક્કસપણે તમે ગાય્ઝ પ્રોત્સાહન તમારા પોતાના સર્વરો પ્રયાસ માટે, આનો પ્રયાસ તેમને અંદર જતા. તમે તેમને પ્રવેશ કરી શકો છો જુઓ, જો તમારે તેમની અંદર વિચાર કરી શકો છો. પરંતુ, બીજા કોઈને છે. કોપ્સ ખરેખર ટુચકાઓ ગમે છે અને નથી સમગ્ર, આપની પાસે આ મૂકો. અમે આસપાસ messing હતા. તેઓ ખરેખર ગુસ્સો વિશે. 

તેથી આ વેબસાઇટ પર વડા. હું તેને અહીં ખોલી છે. આ એક વેબસાઇટ છે, અને તે ઉદાહરણો સમૂહ છે. શું થાય છે કે પ્રથમ ઉદાહરણ સૉર્ટ ઘણો સરળ થઈ રહ્યું છે એક અર્થમાં છેલ્લા ઉદાહરણ કરતાં કે પ્રથમ ઉદાહરણ સંપૂર્ણપણે અસુરક્ષિત છે. અને છેલ્લા એક પ્રકારની શું છે સામાન્ય વેબ સુરક્ષા વ્યક્તિ કરી શકે છે. પરંતુ તમે હજુ પણ સૉર્ટ કરી શકો છો કે આસપાસ. અને અમે એક પર ધ્યાન કેન્દ્રિત રહ્યા છીએ અને બે, ઉદાહરણો એક અને બે. 

બરાબર. ક્રોસ સાઇટ સ્ક્રિપ્ટિંગ સાથે શરૂ કરો. આ જાવાસ્ક્રિપ્ટ પર ચાલે છે ક્લાઈન્ટની બ્રાઉઝર. તે તમે ઉપયોગ કે પ્રોગ્રામિંગ ભાષા છે ક્લાઈન્ટની બ્રાઉઝર તેથી ચલાવવા માટે તમને વેબસાઇટ અપડેટ કરવાની જરૂર નથી અને સર્વર પર જાઓ. તમે તે ચાલી છે. ઉદાહરણ તરીકે, ફેસબુક, તમારી પાસે નથી નવી પરિસ્થિતિ માટે વેબસાઇટ ફરીથી લોડ કરવા માટે સુધારાઓ આવે છે. તે પેદા કરવા માટે જાવાસ્ક્રિપ્ટ ઉપયોગ કરીને કરે છે આ તમામ બાબતો. તેથી અમે દૂષિત જાવાસ્ક્રિપ્ટ પિચકારીની કરી શકો છો તે વેબસાઇટ્સ માં. અને આ રીતે, અમે એક લિંક મોકલી ત્યારે કોઈને, અમે પ્રકારના સાથે મોકલી શકે છે અમે માંગો છો તે કોડ અમુક છે. 

સતત અને બિન સતત છે જાવાસ્ક્રિપ્ટ - સતત અને બિન સતત ક્રોસ સાઇટ સ્ક્રિપ્ટ, હું તેનો અર્થ. અને તફાવત કે સતત છે હશે જાવાસ્ક્રિપ્ટ છે વેબસાઈટ પર સાચવી. અને બિન સતત જાવાસ્ક્રિપ્ટ હશે કે ખરેખર માત્ર એક વખત થાય છે. તેથી આપણે એક ઉદાહરણ જોવા દો વાસ્તવિક ઝડપી. 

બરાબર. તેથી આ વેબસાઇટ, સરળ, કંઇ અહીં થાય છે. અને અમે પ્રયત્ન કરો રહ્યા છીએ કેટલાક જાવાસ્ક્રિપ્ટ દાખલ કરો. તેથી અમે જાવાસ્ક્રિપ્ટ લખવાનું શરૂ માર્ગ અમે શરૂઆતમાં સ્ક્રિપ્ટ સાથે શરૂ થાય છે. અને અમે સ્ક્રિપ્ટની મદદથી બંધ કરો. અમે ફક્ત એક સંદેશ મૂકી રહ્યા છીએ - હું તમને બતાવીશું - ચેતવણી. ચેતવણી વિધેય છે કે જાવાસ્ક્રિપ્ટ કંઈક પ્રદર્શિત કરવા માટે ઉપયોગ કરે છે. તેથી આપણે વાસ્તવિક ઝડપી તેને કરવાનો પ્રયાસ કરો. હું જવા માટે ચેતવણી હેલો જાઉં છું. ઠીક છે, હું મૂકવા ભૂલી ગયા છો - બરાબર. તેથી જે સરળ છે. 

અમે એક વેબસાઇટ પર JavaScript મૂકી, અને તે આવ્યા હતા. અને તે પ્રકારના જ થાય છે અમારી વેબસાઇટ પર, અધિકાર? તે નથી, જેમ તેથી તેને લાગે છે એક સમસ્યા, અધિકાર? હું તેનો અર્થ, તમે કેવી રીતે ઉપયોગ કરી શકે છે આ દ્વેષપૂર્વક? હેકરો કરી શકે તે માટે જે રીતે આ ખરેખર સરળ છે. તેઓ તેને પકડી રાખવું રહ્યા છીએ. તેઓ તમને આ લિંક મોકલી શકો છો. હું હમણાં તમને આ લિંક મોકલીશું તો, અને તમે તેને ખોલો, તે બનશે કહે છે, હેલો, કહે છે કે મારી વેબસાઈટ હેલો તમને કઈ છે. 

અને તેથી હું કંઈક એક કહે તો થોડો સ્માર્ટ, હું ખેંચે છે એક જાવાસ્ક્રિપ્ટ કાર્ય હું પ્રકારની પહેલેથી જ લખ્યું હતું - તમે તેને જોવા પરંતુ જો, હું જઈશ હું તે લખ્યું પહેલાં તેની પર. તેથી અમે એક સમયસમાપ્તિ સુયોજિત રહ્યા છીએ. અમે માટે રાહ રહ્યા છીએ બે સેકન્ડ. હકીકતમાં, જો આપણે રાહ રહ્યા છીએ હું પાંચ સેકન્ડ નથી ભૂલ છું. આ મિલિસેકન્ડોમાં જાય છે. અને પછી અમે શું કરી રહ્યા છીએ અમે છો છે સજાગ રહ્યું કે લૉગિન ફરીથી પ્રવેશ કરવાની સમય સમાપ્ત અને અમે પાંચ બદલી રહ્યા છીએ એક અલગ સ્થાન છે. 

તેથી હું કોઈને આ વેબસાઇટ મોકલી છે, તેઓ પ્રયત્ન રહ્યા છીએ શાંત, આસપાસ બ્રાઉઝ. કંઈ ચાલી રહ્યું છે તે. અને પાંચ સેકન્ડ, તે ચાલી રહ્યું છે કહે છે, તમારી પ્રવેશ બાહ્ય થયા છે. ફરીથી પ્રવેશ કરો તેઓ બરાબર બટન પર ક્લિક કરો, હું જાઉં છું અન્ય વેબસાઇટ પર તેમને લે છે. કદાચ, વેબસાઇટ બનશે વેબસાઈટ જેવી જ હોય ​​કે તેઓ પહેલા હતા. અને તેઓ પ્રવેશ કરવા માટે જઈ રહ્યાં છો તેમના મારી વેબસાઈટ બદલે માં ઓળખાણપત્ર તેમની વેબસાઈટ. 

અને તેથી હું લોકોને એક મોકલી શકો છો આ લિંક સાથે ઇમેઇલ કરો. હું ઓહ, અહીં એક લિંક છે, કહે છે. આ ઉદાહરણ તરીકે, એક બેંક છે. હું અહીં કહે છે, આ લિંક પર જાઓ. તેઓ રીતે મોકલી અને એકવાર, તેઓ આસપાસ બ્રાઉઝ કરી રહ્યા. હું 15 સેકન્ડ, 20 સેકન્ડ માટે રાહ કરી શકો છો, અને પછી તે પાછા લોગ કૃપા કરીને પૉપ પર પાછા સાઇન ઇન કરો. તમે ગાય્ઝ સાથે પ્રયત્ન કરી શકો છો ઘણા બધા વસ્તુઓ. તે જટિલ છે કારણ કે તમે ગાય્ઝ જાવાસ્ક્રિપ્ટ જોવા મળે છે, જેથી તમે કદાચ નથી કેટલાક કાર્યો ખબર નથી. પરંતુ તમારે શું કરવું છે બધા શરૂઆત છે સ્ક્રિપ્ટ સાથે સ્ક્રિપ્ટ સાથે અંત. અને તમે કંઈપણ મૂકી શકે છે મધ્યમાં. 

ચેતવણી માટે રાહ જુઓ, એક કાર્ય છે. વિન્ડો પાંચ લઈ જાય છે એક નવા સ્થાન પર. પરંતુ તમે ઘણું બધું કરી શકો છો. અને તેથી વિચાર છે અમે તે બોલ લેવા. હું બીજું ઉદાહરણ પર જાઓ, અને હું તો આ જ કોડ મૂકવા, તે છે કામ ચાલી રહ્યું નથી. તેથી તે, બધું બહાર છાપવા છે આ વેબસાઇટ મૂળ હું અહીં કશું મૂકી જો છે કરે છે, તે અહીં તે છાપે પડશે. તેથી તે કંઈ પણ નથી છાપવા છે. આ ઉદાહરણ ખરેખર ચકાસે છે સ્ક્રિપ્ટ છે તે જોવા માટે. તેથી હા, આગળ વધો. મને પૂછો. 

પ્રેક્ષક: મોકલવા નથી એક વિચાર અથવા વિનંતી પોસ્ટ? 

લ્યુસિયાનો Arango: અરે વાહ. તેઓ એક વિચાર વિનંતી મોકલવા. 

પ્રેક્ષક: તે છે? 

લ્યુસિયાનો Arango: અરે વાહ. પણ બ્રાઉઝર્સ પોસ્ટ અરજીઓ ઉપયોગ કરે છે. પરંતુ હું વિચાર અરજીઓ બતાવવા માટે પ્રયાસ કરી રહ્યો છું અમે શું છે તે જોવા કરી શકો છો કે જેથી ખરેખર રહ્યું. અને તેથી અમે આ કોડ જોવા હોય તો - તેથી તે હવે કામ ન કરતું. અને અમે આ કોડ પર એક નજર તો તે બીજું ઉદાહરણ માં જ હશે. આ વ્યક્તિને શું કરી રહ્યા છે, જે વ્યક્તિ આ બ્રાઉઝર હવાલો - બરાબર, ખોલો - શબ્દ સ્ક્રિપ્ટ બદલી છે. આ PHP છે, જે તમે ગાય્સ કદાચ હજુ સુધી કરવામાં થોડો જોવા મળ્યો છે. 

તેમણે માત્ર બદલી છે નામ સાથે શબ્દ સ્ક્રિપ્ટ. તેથી જો કે, હું આગળ જાઓ અને માત્ર માં મૂકે છે - હું ફરી મારા કોડ ગ્રેબ, અને હું જાઉં છું જો તે માત્ર થોડો ફેરફાર કરવા માટે. તેના બદલે સ્ક્રિપ્ટ, હું બદલવા માટે જઇ રહ્યો છું તે મૂડી આર અને સાથે સ્ક્રિપ્ટ માટે અમે આ કોડ કામ કરે છે તે જોવા માટે જઈ રહ્યાં છો. તેથી તે, તેને છાપે ન હતી જે એક સારો સંકેત છે. અને આશા છે વધુ બે સેકન્ડોમાં, તે પૉપ બનશે. 

તમારી લૉગિન બાહ્ય થયા છે. બરાબર. તે બધા અધિકાર છે. તેથી સ્ક્રિપ્ટ માટે ચકાસણી કદાચ જરૂરી કામ ન. આ વ્યક્તિ - તે સ્ક્રિપ્ટ મોટા માટે ચકાસણી કરી શકો છો, સ્ક્રિપ્ટ લોઅરકેસ, str કેસ તેઓ આ જ છો તેની ખાતરી કરો, કરો. પરંતુ હજુ પણ હેકર શું જેવું કરી શકો છો અમે ગયા ત્યારે અમે Vigenere કર્યું પાછા બે અક્ષરો, આગળ વધો. અને તે સ્ક્રિપ્ટ મૂકી બહાર આકૃતિ કેવી રીતે કરી શકો છો પાછા પિચકારીની કરી શકો છો જેથી ત્યાં કે સ્ક્રિપ્ટ. 

તેથી શું તમે વાપરવા માંગતા હોવ htmlspecialchars છે તમારી વેબસાઇટ રક્ષણ આપે છે. અને શું છે તો તે બનાવે છે ખાતરી કરો કે તમે મૂકવા શું છે - ઉદાહરણ તરીકે, અથવા આ અવતરણો - કરતાં કરતાં વધારે અથવા ઓછા કંઈક સાથે બદલાઈ જાય છે કે નહીં - મને અહીં ઝૂમ - વાસ્તવિક 'ચિન્હ. તે તે ખાસ એચટીએમએલ બદલશે અમે હોય ત્યારે અમે જોશો કે અક્ષરો વિશે વાત - ઓહ, આ મને પાછા લઈ રહ્યું છે - અહીં આ અક્ષરો. 

આ અર્થ છે કે જે કંઈક આવી રહ્યું છે. એચટીએમએલ, કે શરૂ કૌંસ માટે અમને કહે છે કે કંઈક સંબંધિત એચટીએમએલ આવી રહ્યું છે. અને અમે તે છૂટકારો મેળવવા માંગો છો. અમે એક માં એચટીએમએલ મૂકેલ નથી website.k અમે વપરાશકર્તા પ્રયત્ન કરવા માંગો છો નથી તેમની વેબસાઈટ માં કંઈક મૂકવા સક્ષમ જેમ, તેમની વેબસાઈટ પર અસર કરી શકે સ્ક્રિપ્ટ અથવા HTML અથવા તે કંઈક. અગત્યનું તો એ છે છે કે જે તમને વપરાશકર્તા ઈનપુટ sanitize. 

જેથી વપરાશકર્તાઓ ઇનપુટ ઘણી વસ્તુઓ કરી શકે છે. તેમણે ઇનપુટ પ્રયાસ સામગ્રી સમૂહ કરી શકો છો હજુ પણ તમારી બ્રાઉઝર ટ્રીક આ સ્ક્રિપ્ટ કોડ ચાલી રહ્યું છે. તમે શું કરવા માંગો છો કે માત્ર જોવા નથી સ્ક્રિપ્ટ માટે, પરંતુ બધું જોવા કે દૂષિત હોઈ શકે છે. અને htmlspecialchars કરશે કે તમારા માટે છે, તેથી તમે નથી તે વિશે ચિંતા કરવાની. પરંતુ તમારી જાતને દ્વારા કરવા માટે પ્રયત્ન નથી સૉર્ટ તમારા પોતાના કોડ સાથે. દરેક XSS પર સ્પષ્ટ છે? 

બરાબર. માતાનો એસક્યુએલ ઇન્જેક્શન પર જઈએ. તેથી એસક્યુએલ ઇન્જેક્શન કદાચ છે નંબર એક નબળાઈ વિવિધ વેબસાઇટ્સ માં. હું એક સારું ઉદાહરણ અર્થ - હું માત્ર સુદૂરવર્તી સંશોધન કરવામાં આવ્યું હતું આ એ. અને હું આ અદ્ભુત લેખ મળી છે હું હાર્વર્ડ ભંગ જોયું કે, ઘા મારીને હત્યા કરવામાં આવી હતી. અને હું, સાથે સાથે, આશ્ચર્ય પામી હતી તેઓ તેને કેવી રીતે કરશો? હાર્વર્ડ, સૌથી ભયાનક સૌથી ક્યારેય યુનિવર્સિટી સુરક્ષિત. અધિકાર? વેલ, સર્વરો ભંગ માટે, હેકરો વપરાયેલી એસક્યુએલ ઇન્જેક્શન કહેવાય ટેકનિક. 

તેથી આ દિવસે ધોરણે એક દિવસ પર થાય છે. લોકો એકાઉન્ટ લઇ ભૂલી એસક્યુએલ ઇન્જેક્શન માટે. હાર્વર્ડ છે. હું તે પ્રિન્સટન, અહીં કહે છે લાગે છે સ્ટેનફોર્ડ, કોર્નેલ. તેથી અમે કેવી રીતે કરવું - તેથી આ એસક્યુએલ છે આ બધા લાવવામાં આવે છે કે ઈન્જેક્શન લોકો નીચે? બરાબર. તેથી એસક્યુએલ એક પ્રોગ્રામિંગ ભાષા છે કે અમે ડેટાબેઝ વાપરવા માટે ઉપયોગ કરે છે. અમે શું છે અમે પસંદ છે - તેથી શું આ અધિકાર હવે વંચાય પસંદ છે ટેબલ બધું. 

એસક્યુએલ, કે આ ડેટાબેઝો માં ફેરફાર માહિતી સંપૂર્ણ કોષ્ટકો છે. જેથી વપરાશકર્તાઓ બધું પસંદ કરો નામ વપરાશકર્તા નામ છે. અધિકાર? પૂરતો. એસક્યુએલ ઇન્જેક્શન ઓફ વિચાર છે કે અમે કેટલાક દૂષિત કોડ દાખલ કરો કે કરશે કંઈક ચાલી માં સર્વર યુક્તિ શું તે કરતાં અલગ મૂળ ચાલી રહ્યું હતું. તેથી આપણે વપરાશકર્તા નામ માટે કહેવું, અમે મૂકવા અથવા 1 1 સમકક્ષ હોય છે. તેથી અમે મૂકવા અથવા 1 1 સમકક્ષ હોય છે. તે હવે વાંચી હશે જે રીતે પસંદ હશે વપરાશકર્તાઓ, બધું થી વપરાશકર્તાઓ - આ બધું છે - નામ વપરાશકર્તા નામ છે, પરંતુ જ્યાં વપરાશકર્તા નામ અથવા 1 1 સમકક્ષ હોય છે. 

તેથી નામ નથી અથવા 1 1 સમકક્ષ હોય છે. 1 1 હંમેશા સાચું છે સમકક્ષ હોય છે. તેથી આ હંમેશા માહિતી આપશે આ વપરાશકર્તાઓ તરફથી. બરાબર. અમે જરૂર નથી આ યોગ્ય વપરાશકર્તા નામ. અમે હમણાં જ અમે માંગો છો જે કંઇ પણ કરી શકે છે, અને તે માહિતી આપશે અમે જરૂર છે. માતાનો અન્ય એક ઉદાહરણ જુઓ. 

અમે વપરાશકર્તા બધું પસંદ હોય તો, નામ મૂકો ટેબલ વપરાશકર્તાઓ છે જ્યાં - જેથી તમે શું વિચારો છો આ ઇચ્છા મારે માટે વપરાશકર્તા નામ મૂકવામાં જો DROP TABLE વપરાશકર્તાઓ તરીકે? કોઈપણ વિચાર છે? હા. 

પ્રેક્ષક: તે કહી રહ્યું છે તે બધા કોષ્ટકો ડમ્પ. 

લ્યુસિયાનો Arango: તે અમને જણાવો બનશે વેબસાઈટ બધું ડમ્પ, ડેટાબેઝમાં બધું. અને શું લોકો માટે આ વાપરો - જેથી હું તમને ગાય્ઝ બતાવવા જાઉં છું. હું કોષ્ટકો છોડી દેવા અક્ષમ હું તમે કરવા માંગો છો ન હતી કારણ કે ગાય્ઝ મારા કોષ્ટકો છોડો. ચાલો આ પર એક નજર. તેથી આ ખાલી માહિતી બનાવ્યા ચોક્કસ વ્યક્તિ માટે. આ છે કેવી રીતે અમે ખબર નથી એસક્યુએલ ઇન્જેક્શન દ્વારા અસર થાય છે. અમે વાસ્તવિક ઝડપી ચકાસણી રહ્યા છીએ અમે કંઈક મૂકી શકો છો - મને આ કોડ નકલ કરો. હું તે બીજા પર જવા માટે જાઉં છું. હું રુટ મૂકી જાઉં છું અને 1 1 સમકક્ષ હોય છે. 

આ જ છે, આ ટકાવારી ચિહ્ન 23 - તે ખરેખર શું છે, તો હું પર અહીં જુઓ - જો તમે એચટીએમએલ, સંખ્યામાં લે જે રીતે હું એક જગ્યા મૂકવા જ્યારે પર એક નજર અહીં - હું જગ્યા કંઈક હોય તો અહીં, તે ટકા 2 માટે બદલે છે. તમે ગાય્સ અહીં આ જુઓ છો હું એક જગ્યા મૂકવા છે? તે કામ કરે છે જે રીતે કે તમે માત્ર આ કરી શકો છે એચટીએમએલ દ્વારા ASCII કિંમતો મોકલો. તેથી તે, ઉદાહરણ તરીકે, બદલે છે ટકા 20 સાથે એક જગ્યા. મને ખબર નથી, જો તમે ગાય્ઝ પહેલા તે જોવા મળે છે. 

તે ટકા 23 સાથે એક hashtag બદલે છે. અમે ઓવરને અંતે અથવા એક hashtag જરૂર નિવેદન અમે કહી શકો છો કે જેથી ટિપ્પણી ભૂલી ડેટાબેઝ અંતે આ છેલ્લા અર્ધવિરામ. અમે તે વિશે વિચારો નથી કરવા માંગો છો. અમે હમણાં જ તે બધું ચલાવવા માંગો છો અમે પહેલાંથી છે અને તે કે ટિપ્પણી કરો. આપણે તેના પર એક નજર કરીએ. 

હું કંઇક ખોટું કરે તો તેથી - માતાનો ઉદાહરણ તરીકે કહેવું, હું 2 સમકક્ષ મૂકી 1, તે મને કંઈપણ આપતું નથી. હું 1 મૂકી છે 1 સમકક્ષ છે, અને તે કરે છે કંઈક આવો, આ મને કહે છે કે આ માટે સંવેદનશીલ છે એક એસક્યુએલ ઇન્જેક્શન. હું હવે ખબર છે કે જે હું આ પછી મૂકે છે - અને ઉદાહરણ તરીકે, કોષ્ટકો DROP અથવા તે કંઈક ચોક્કસપણે કામ કરશે. હું તે એસક્યુએલ ઇન્જેક્શન સામે નિર્બળ ખબર હું કે ખબર છે કારણ કે હૂડ નીચે, તે ભાડા છે મને 1 1 વસ્તુ બરાબર છે. બરાબર? 

અને અમે આ અન્ય મુદ્દાઓ જોવા, નંબર બે અને ત્રણ નંબર, તે છે થોડો વધુ કરવા જાઉં ના નીચે ચકાસણી તે શું છે હૂડ. તેથી કોઈને ડ્રોપ સક્રિય હજી સુધી કંઈ અથવા પ્રયાસ કર્યો? તમે ગાય્ઝ પ્રકારના હજુ સુધી એસક્યુએલ મળી શકે? મને ખબર છે કારણ કે તમે ગાય્ઝ નથી હજુ સુધી જોઇ છે, તેથી તે પ્રકારની છે તમે ગાય્ઝ માટે ચિંતામાં મૂકી દે. ચાલો એક નજર. તેથી SQLI અટકાવવા માટે જે રીતે શું છે? બરાબર. તેથી આ ખરેખર મહત્વનું છે કારણ કે તમે ગાય્ઝ ચોક્કસપણે અટકાવવા માંગો છો આ તમારા વેબસાઇટ્સ માં. 

જો નહિં, તો તમારા બધા મિત્રો જવું છે તેઓ બધા છોડો ત્યારે તમે મશ્કરી તમારા કોષ્ટકો. તેથી વિચાર તમે એસક્યુએલ સુધારવા છે ચોક્કસ રીતે, જ્યારે તમે સાથે મેળ શું સાથે યુઝર ઇનપુટ્સ ચોક્કસ શબ્દમાળા. તેથી આ કામ કરે છે જે રીતે તમે છે ડેટાબેઝ તૈયાર. તમે નામ, રંગ, અને કેલરી પસંદ કરો ડેટાબેઝ કહેવાય ફળ. અને પછી કેલરી, કરતાં ઓછી હોય છે અને આપણે ત્યાં પ્રશ્ન ચિહ્ન મૂકી અમે ઇનપુટ રહ્યા છીએ કહેતા બીજા કંઈક. 

અને રંગ સમકક્ષ હોય છે, અને અમે પ્રશ્ન માર્ક અમે જઈ રહ્યાં છો કહે છે ઇનપુટ બીજા કંઈક એ જ પ્રમાણે. બરાબર? અને પછી અમે મૂકે છે, તે ચલાવો 150 અને લાલ. અને આ ખાતરી કરવા માટે ચકાસણી કરશે ખાતરી કરો કે આ બે કે - આ એરે તપાસ કરશે કે આ બે પૂર્ણાંક અને છે આ શબ્દમાળા છે. પછી અમે જાઓ, અને અમે મેળવે બધા, અમે લાલ મૂકો. કે અમે બધા મેળવે છે. તે અમે ખરેખર એસક્યુએલ ચલાવવા અર્થ એ થાય નિવેદન અને લાલ તેને પાછા મૂકો. અહીં અમે એ જ કરી, પરંતુ અમે પીળા માટે જ હોય ​​છે. અને અમે બધા મેળવે. 

અને આ રીતે, અમે વપરાશકર્તા અટકાવવા ઇનપુટ કંઈક કરવાનો હોવા કે અમે સ્પષ્ટ કરેલ છે, શબ્દમાળા નથી અથવા પૂર્ણાંક, ઉદાહરણ તરીકે. હું વિશે અગાઉ વાત કરી હતી અન્ય પર આધાર રાખવાનું. તમે ગાય્સ તમારા પ્રોજેક્ટ શરૂ કરવા માટે, તમે છો સૌથી વધુ ચોક્કસપણે ઉપયોગ જઈ બુટસ્ટ્રેપ અથવા જેવું. તમે ગાય્સ ક્યારેય વર્ડપ્રેસ ઉપયોગ? કદાચ તમે ગાય્ઝ ઉપયોગ કર્યો છે વર્ડપ્રેસ મોટા ભાગે. તેથી મદદથી સાથે સમસ્યા અન્ય લોકોની વસ્તુઓ - હું માત્ર Google વાસ્તવિક ઝડપી જાઉં છું વર્ડપ્રેસ નબળાઈ. 

હું હમણાં આ ખેંચે તો - હું શાબ્દિક એક બે બીજા ગૂગલ હતી. અમે તે વર્ડપ્રેસ જોઈ શકે છે - આ સપ્ટેમ્બર '12 તરીકે જૂની છે. 26 અપડેટ થયેલ છે. વર્ડપ્રેસ નું મૂળભૂત રૂપરેખાંકન 3.6 આ અટકાવતું નથી તે પહેલાં ચોક્કસ ફાઇલ, જે શક્તિ તેને સરળ બનાવવા માટે ક્રોસ સાઇટ સ્ક્રિપ્ટિંગ હુમલો. તેથી ઝડપી વાર્તા, એક વાર અમે કામ કરતા હતા સાથે - તેથી હું એક કામ, ઉનાળામાં, હતી ઇન્ટર્નશિપ. અને અમે સૉર્ટ સાથે કામ કરતા હતા મોટા ક્રેડિટ કાર્ડ કંપની છે. 

અને તેઓ કહેવાય છે તેની પર આધાર રાખે છે - તમે ગાય્સ ક્યારેય ભજવી જો મને ખબર નથી Joomla કહેવાય ઉત્પાદન સાથે. Joomla માટે વપરાય છે કે જે ઉત્પાદન છે નિયંત્રણ - જેવું જ છે વેબસાઇટ્સ બિલ્ડ કરવા માટે વપરાયેલ વર્ડપ્રેસ,. જેથી તેઓ તેમની વેબસાઈટ હતી Joomla પર કામ કરે છે. આ ખરેખર એક ક્રેડિટ કાર્ડ છે કોલમ્બીયા માં કંપની. હું તમને લેવા પડશે તેમના વેબસાઇટ વાસ્તવિક ઝડપી. 

તેથી તેઓ Joomla ઉપયોગ થાય છે. અને તેઓ જુમલા સુધારાશે ન હતી તાજેતરની વધુમાં છે. અને તેથી અમે આગળ લઈ આવ્યા ત્યારે તેમના કોડ છે, અમે ખરેખર સક્ષમ હતા તેમના કોડ અંદર જાઓ અને ચોરી તમામ તેઓ હતા કે ક્રેડિટ કાર્ડ માહિતી, તમામ ક્રેડિટ કાર્ડ નંબર, નામ, સરનામા. અને આ માત્ર હતી - અને તેમના કોડ સંપૂર્ણપણે દંડ હતી. તેઓ મહાન કોડ હતી. તે બધા સુરક્ષા હતી. તેઓ બધા ડેટાબેઝો ચેક. તેઓ ક્રોસ સાઇટ ખાતરીપૂર્વક સ્ક્રિપ્ટ દંડ હતી. 

પણ એવું ન હતું કે કંઈક ઉપયોગ સુધારાશે, કે સુરક્ષિત નથી. અને તેથી તેમને દોરી કે - જેથી તમે ગાય્ઝ ચોક્કસપણે અન્ય વાપરવા માંગો, લોકોના કોડ છે, અન્ય લોકોની માળખા તમારી વેબસાઇટ બિલ્ડ. તેઓ સુરક્ષિત છો તેની ખાતરી કરો કારણ કે ક્યારેક તે, એક કે જે તમે નથી કોઈ ભૂલ કરે છે. પરંતુ અન્ય કોઈ વ્યક્તિ કોઈ ભૂલ કરે છે, અને પછી તમે તે કારણે નીચે આવતા હોય છે. 

પાસવર્ડ્સ અને PII. તેથી પાસવર્ડ્સ. બરાબર. માતાનો પાસવર્ડ્સ પર એક નજર વાસ્તવિક ઝડપી. બરાબર. મને જણાવો કે દરેક સુરક્ષિત વાપરે - હું અહીં દરેકને આશા છું સુરક્ષિત પાસવર્ડ ઉપયોગ કરે છે. હું માત્ર ભાડા છું એક ધારણા તરીકે. તેથી તમે ગાય્સ ચોક્કસપણે જવું છે તમારા વેબસાઇટ્સ માટે પાસવર્ડ સ્ટોર કરે છે. તમે કંઈક કરી રહ્યા છીએ જેમ પ્રવેશ અથવા કંઈક. અગત્યનું તો એ છે સંગ્રહ ન કરવા માટે છે સાદા લખાણમાં પાસવર્ડ. આ અત્યંત મહત્વપૂર્ણ છે. તમે સંગ્રહવા માંગો છો નથી સાદા લખાણમાં પાસવર્ડ. 

અને તમે ચોક્કસપણે ખરેખર કરવા માંગો છો નથી એક એક તરફી હેશ માં સંગ્રહે. તેથી શું એક તરફી હેશ કે જ્યારે તમે તમે આ મૂકી છે, એક શબ્દ પેદા હેશ વિધેય માં શબ્દ, તે કરશે ભેદી અમુક પ્રકારની પાછા પેદા સંદેશ અથવા કીઓ ભેદી સમૂહ. હું તમને એક ઉદાહરણ બતાવીશું. હું તેઓ શબ્દ password1 હેશ જાઉં છું. તેથી md5 હેશ મને પાછા જઈ રહ્યું છે વિચિત્ર માહિતી અમુક પ્રકારની. 

સમસ્યા એ છે કે લોકો બહાર છે કે વેબસાઇટ્સ માં જવા માગો છે પહેલેથી જ પ્રકારની બહાર figured તમામ MD5 હેશ છે. તેઓ પર બેઠા છે શું તેમના કમ્પ્યુટર્સ, અને તેઓ દરેક hashed ત્યાં એક શક્ય શબ્દ સુધી તેઓ પ્રકારની આ શું થઈ જાય છે. હું આ જોવા માટે હોય - હું આ હેશ પકડીને. હું આ હેશ છો તો - હું એક વેબસાઇટ પર જાઓ, અને હું તો આ હેશ હું મેળવવા માટે છે કારણ ડેટાબેઝો, અને હું તેને જોવા, કોઈ પહેલેથી જ મારા માટે બહાર figured. 

અરે વાહ. તેથી લોકો બેઠા છે, અને ગમે MD5 તમે મૂકવા કે હેશ, તેઓ રહ્યા છીએ તમે પર પાછા કંઈક કે શબ્દ છે. હું જેમ, અન્ય શબ્દ હેશ તો - મને ખબર નથી - trees2. હું નિરાશ થઈ નથી માંગતા મારા Google શોધ દ્વારા. ત્યાં તે trees2 છે. તેથી વેબસાઇટ્સ ઘણો હજુ md5 હેશ ઉપયોગ કરે છે. તેઓ ઓહ, તે સુરક્ષિત છે, કહે છે. અમે સાદા લખાણમાં સ્ટોર નથી. અમે આ md5 હેશ છે. અને હું હોય છે માત્ર છે સંખ્યા Google. 

હું પણ મારી જાતને ગણતરી નથી. હું માત્ર તે Google કરી શકો છો અને કોઇ પહેલેથી જ મારા માટે જ હતી. અહીં તેમને એક સમૂહ છે. અહીં કોઈપણ સમૂહ છે. તેથી ચોક્કસપણે md5 હેશ ઉપયોગ કરતા નથી, કારણ કે તમે હોય છે શું Google તે છે. તેથી શું તેને બદલે તમે ઉપયોગ કરવા માગો છો? બરાબર. માંસમાં મીઠું ભેળવીને કહેવાય છે તેની. તેથી શું માંસમાં મીઠું ભેળવીને છે - અમે હતા જ્યારે તમે ગાય્સ યાદ છે માં રેન્ડમ વિશે વાત - હું તે શું હતું pset ખાતરી નથી - તે ત્યાં pset કે ચાર હતી? 

અમે શોધવા વિશે વાત કરવામાં આવી હતી આ haystack માં સોય. અને આ pset, તે જણાવ્યું હતું કે, તમે કરી શકે કે શું ખરેખર રેન્ડમ આકૃતિ કોઈને પહેલેથી જ ચાલી હતી કારણ કે બનાવે છે રેન્ડમ એક મિલિયન વખત અને માત્ર જેવું તેઓ પેદા શું રચના કરી હતી. તમે શું કરવા માંગો છો છે ઇનપુટ મૂકવા. જેથી જેવું છે શું માંસમાં મીઠું ભેળવીને છે. તેઓ પહેલેથી જ મીઠું ભેળવીને તે figured દરેક કામ માટે જાય છે. 

તેથી શું માંસમાં મીઠું ભેળવીને કરે છે તમે મીઠું મૂકો. તમે અમુક ચોક્કસ શબ્દ મૂકવા. અને તે આધાર રાખીને કે શબ્દ હેશ કરશે તમે અહીં મૂકવામાં શું. તેથી હું આ સાથે એક પાસવર્ડ હેશ જો સજા, તે હેશ બનશે હું password1 હેશ અલગ હોય અલગ સજા સાથે. તે પ્રકારના ક્યાંક આપે શરૂ કરવા માટે હેશીંગ માટે શરૂ કરો. તેથી તે તમને ગણતરી ઘણો મુશ્કેલ છે, પરંતુ હજુ પણ ખાસ કરીને, તે ગણતરી કરી શકે છે તમે ખરાબ મીઠું વાપરે. 

લોકો પહેલેથી જ પણ બહાર figured છે સામાન્ય મીઠું અને બહાર figured તે છે કે શું. રેન્ડમ ક્ષાર ખૂબ સારી હોય છે, પરંતુ શ્રેષ્ઠ રીતે ઉપયોગ છે ક્રિપ્ટ કહેવાય છે તેની. અને શું ક્રિપ્ટ તમે માટે પરવાનગી આપે છે તેથી આ કાર્ય છે - નથી પહેલેથી જ તમારા માટે બનાવી છે. ઘણા લોકો ભૂલી ગયા છે કે, અથવા તે તેનો ઉપયોગ ભૂલી. પરંતુ હું ક્રિપ્ટ PHP,, ક્રિપ્ટ જુઓ તો પહેલેથી જ મારા માટે હેશ શબ્દમાળા આપે છે. અને તે ખરેખર તે ઘણી વખત ક્ષાર અને તે ઘણી વખત હેશો. 

તેથી અમે આ કરવા માટે નથી. તેથી તમારે શું કરવું છે બધા છે ક્રિપ્ટ માં મોકલો. અને તેના વિના એક મહાન હેશ બનાવશે તમે મીઠું ચિંતા કર્યા અથવા કંઈપણ. તમે મીઠું માટે હતા, કારણ કે તમારી પાસે તમે શું ઉપયોગ સોલ્ટ યાદ કારણ કે જો નહિં, તો તમે મેળવી શકો છો તમારા પાછા વગર પાસવર્ડ તમે ઉપયોગ મીઠું. બરાબર. 

અને પણ વ્યક્તિગત ઓળખી જાણકારી. તેથી સામાજિક સુરક્ષા, ક્રેડિટ કાર્ડ - ખૂબ સ્પષ્ટ છે કે. અમુક વાર લોકો જે રીતે ભૂલી તે કામ કરે છે કે કેવી રીતે તમે વધુ માહિતી, છે વાસ્તવમાં કેટલાક એક વ્યક્તિ શોધવાની જરૂર? બીજાની વિશે અભ્યાસ કર્યો આ એક રીતે પાછા. અને તે તમને હોય તો, સમાન હતું સંપૂર્ણ નામ, તમે શોધી શકો છો કે જે સરળતાથી કોઈને. પરંતુ જો તમે આખું નામ શું છે તો અને જન્મ તેમના તારીખ? ઓળખવા માટે પૂરતી છે કે છે ખાસ કોઈને? 

શું તમે તેનું નામ અને છે જો તેઓ પર રહે છે કે, શેરી સરનામું? કે કોઈને શોધવા માટે પૂરતી છે? તેઓ પ્રશ્ન ત્યારે અને તે શું છે, છે વ્યક્તિગત માહિતીને, અને તમારા વિશે શું ચિંતા જોઈએ આપ્યા નથી? તમે વ્યક્તિગત રીતે ઓળખી દૂર આપો તો કોઈ તમને આપે છે, માહિતી, તમે સંભવિત કેસ થઈ શકે છે. અને અમે ચોક્કસપણે કે નહિં માંગો. 

તેથી જો તમે તમારી વેબસાઇટ આપી રહ્યા છીએ ત્યારે બહાર, અને તમે ખરેખર ઠંડી છે ડિઝાઇન, આસ્થાપૂર્વક તમે કરેલા એક ભયાનક અંતિમ પ્રોજેક્ટ. તમે પ્રકારના માંગો છો કોઇ તેને ત્યાં મૂકી. તમે ખાતરી કરો કે જે કરવા માંગો છો તે છે, જો તમે વપરાશકર્તા પાસેથી લઇ રહ્યા છીએ વ્યક્તિગત માહિતીને, તમે ખાતરી કરો કે તમે ખરેખર હોવા છો બનાવવા માંગો છો તે સાથે ખૂબ કાળજી. 

શેલ ઇન્જેક્શન. બરાબર. શેલ ઈન્જેક્શન માટે ઘૂસણખોર માટે પરવાનગી આપે છે તમારી વાસ્તવિક આદેશ વાક્ય વપરાશ મળી તમારા સર્વર છે. અને તેથી તે કોડ ચલાવવા માટે સમર્થ છે તમે નિયંત્રિત કરી શકો છો. માતાનો આનું ઉદાહરણ લઈએ અહીં સુંદર શબ્દમાળા. અમે ફરી વેબસાઇટની જાય, તો હું છું કોડ ઈન્જેક્શન જાય રહ્યું. તેથી શું છે તો છે - આપણે શું હતા પણ છે પહેલાં જોઈ. અમે ગમે મૂકવા વપરાશકર્તા ભાડા કરી રહ્યા છીએ તેઓ ઇચ્છે છે, અને તે છાપશે તમે જે કરવા માંગો છો. 

તેથી હું કોલ મૂકી જાઉં છું. શું કરે છે - તે concatenating દ્વારા શરૂ થશે. તેથી તે મને સ્કોર આપશે ગમે જે વ્યક્તિ ચાલી આદેશ પહેલાં અને મારા આદેશ. અને હું એક સિસ્ટમ આદેશ ચાલી રહ્યો છું. અને આ છેલ્લા શબ્દમાળાઓ છે - યાદ શું હું વિશે તમને ગાય્ઝ માટે વાત કરી, તમે બેવડી હોય છે, જ્યારે તેને એક URL પદ્ધતિ. હવે હું આ સ્કોર તો - હું અહીં તમે બતાવીશું - તમે મને અંત જોશો કે અપ આદેશ ચાલી રહ્યું છે. 

આ વાસ્તવમાં વાસ્તવિક સર્વર છે મારી વેબસાઈટ પર ચાલી રહ્યું છે. તેથી અમે તે કરવા નથી માંગતા, હું ચાલી શકે છે - આ સર્વર ખાણ નથી. તેથી હું વાસણ નથી માંગતા તેના બહેન, માર્કસ સર્વર. પરંતુ તમે વધુ આદેશો ચલાવી શકો છો ખતરનાક છે. અને સંભવિત, તમે કાઢી શકે ફાઈલો, ડિરેક્ટરીઓ દૂર કરે છે. હું ચોક્કસ ડિરેક્ટરી જો દૂર કરી શકો છો હું માગતા હતા, પરંતુ હું નથી માંગતા માર્કસ માટે તે કરવા માટે. તેમણે એક સરસ વ્યક્તિ છે. તેણે મને તેના સર્વર ઉધાર દો. તેથી હું તેમને દો જાઉં છું સારા એક પર બોલ. 

તેથી શું અમે ઉપયોગ કરવા માંગો છો નથી - અમે કરી eval અથવા સિસ્ટમ સાથે વાપરવા માંગો. Eval અથવા સ્થાનિક અમને પરવાનગી આપે છે આ સિસ્ટમ પર કૉલ કરો. Eval અર્થ મૂલ્યાંકન. System i ચાલી હતી શું થાય છે. તે સિસ્ટમમાં કંઈક ચાલે છે. પરંતુ અમે આ બધી વસ્તુઓ કરી શકે છે બહારવટિયો PHP, અમે તેમને ઉપયોગ ન કરી શકે તે માટે. અને ફાઈલ અપલોડ કરો. હું એક ભયાનક કરવા માટે ચાલુ કરવામાં આવી હતી ફાઇલ અપલોડ સાથે વાત. પરંતુ જેમ હું મારા ફાઈલ તમે ગાય્ઝ કહ્યું અપલોડ વસ્તુ કામ કરતું નથી. હું હમણાં ફાઈલ અપલોડ કરવા માટે હતી - હું ફાઈલ અપલોડ કરવા માટે હતા, જો અને તે એક ચિત્ર છે - તમે અપલોડ વસ્તુ છે કે એક ચિત્ર છે. કે દંડ છે. કંઇ બને છે. 

પરંતુ જો તમે એક ફાઇલ અપલોડ કરો, માટે હોય તો ઉદાહરણ તરીકે, અને વપરાશકર્તા ખરેખર ફાઇલ એક PHP ફાઈલ અથવા Exe ફાઈલ અથવા કંઈક જેમ, તો પછી તમે સંભવિત કરી શકે સમસ્યા હોય છે. આ પહેલાં કામ કરતો હતો. કમનસીબે મારા માટે, તે છે હવે કામ નથી. હું, ઉદાહરણ તરીકે, આ ફાઇલ અપલોડ, હું છું અપલોડ કરવા માટે પરવાનગી ન મળી સર્વર કારણે ફાઇલ ખાણ નથી. તેથી જે વ્યક્તિ ખરેખર સ્માર્ટ છે. 

તેથી અમે નથી માંગતા - હું તમને ગાય્ઝ બતાવવા જાઉં છું - ઠીક છે, આ કેટલાક ખરેખર ઠંડી સાધનો છે. તેથી આ - જાય - તમે ગાય્ઝ ફાયરફોક્સ હોય તો - આસ્થાપૂર્વક તમે કરો. એસક્યુએલ પિચકારીની તરીકે ઓળખાતી બે ઉમેરો ઑન્સ છે મને અને ક્રોસ સાઇટ સ્ક્રિપ્ટ મને. તેઓ ખૂબ ઓછી બાજુ ખોલો બાજુ પર બાર. અને હું પર જાઓ તો ઉદાહરણ તરીકે CS60 - તેથી તે શું છે તે દેખાય છે તમામ સ્વરૂપો તે માટે - આસ્થાપૂર્વક, હું મળશે નહીં આ માટે મુશ્કેલીમાં. 

પરંતુ બરાબર. અહીં પિન સિસ્ટમ છે. તેથી હું છિદ્રો શોધી શરૂ જ્યારે સિસ્ટમ, હું પ્રથમ વસ્તુ છે આ સુંદર ઓછી ખોલો બાજુ પર સાધન. અને હું સ્વરૂપો ચકાસવા માટે જાઉં છું ઓટો હુમલા સાથે. અને તેથી આ શું કરે છે તે ધીમે ધીમે થશે છે બ્રાઉઝર્સ સમૂહ ખોલો. અહીં બ્રાઉઝર્સ એક સમૂહ છે. અને તે દરેક એક મિશ્રણ પ્રયાસ કરી રહી છે ક્રોસ સાઇટ સ્ક્રિપ્ટિંગ ના ત્યાં કદાચ છે, જો કે તમે બાજુ પર જુઓ. 

અને તે મને એક પરિણામ મળશે જવાબ શું છે પ્રકારની. બધા પસાર કરે છે. દેખીતી રીતે, તેઓ બધા પસાર કરે છે. હું તેનો અર્થ, તેઓ ખરેખર સ્માર્ટ છો ત્યાં લોકો. પરંતુ હું તો ચલાવવા માટે - હું આ સ્કોર જ્યારે પહેલાં વખત હતી 'વિદ્યાર્થીઓ અંતિમ પ્રોજેક્ટ પર. હું ફક્ત મારા સાથે પિચકારીની એસક્યુએલ ચલાવવા બધા અલગ અલગ હુમલા. અને તે એસક્યુએલ પિચકારીની પ્રયાસ કરી રહી છે આ પીન સર્વર. અમે સરકાવો, તેથી ઉદાહરણ તરીકે, તે કહે છે - તે આપે, તો આ સારું છે. 

તેથી તે અમુક ચોક્કસ કિંમતો પરીક્ષણ કર્યું છે. અને સર્વર ને પરત કોડ કે નેગેટિવ રહી હતી. થોડા સમય માટે દૂર કરો. આ સારી છે. તે બધા આ પરીક્ષણો પ્રયાસ કરે છે. તેથી તમે ખાલી ચાલે છે - હું એક વેબસાઇટ વાસ્તવિક શોધી શકે માંગો ઝડપી કે મને દો છો - કદાચ આ CS50 સ્ટોર કરો. 

વાહ, આ રહ્યું છે રીતે ઘણો સમય લે છે. હું જઈશ પ્રથમ ટેસ્ટ અધિકાર સમાપ્ત નથી. તેથી તે ફરિયાદ છે. તેથી આ ત્રણ વસ્તુઓ છે. આ સાધનો મુક્ત હોય છે. તમે તેમને ડાઉનલોડ અને તેમના પર ચાલી શકે છે તમારી વેબસાઇટ, અને તે તમને કહેશે તો તમે ક્રોસ સાઇટ સ્ક્રિપ્ટિંગ છે, તમે જો તમારી પાસે હોય એસક્યુએલ હોય તો જેમ કંઈક. હું પ્રકારના ગડબડ છું. 

અગત્યનું તો એ છે - ઠીક છે, જેથી વપરાશકર્તા ક્યારેય વિશ્વાસ. તમને ગમે તે યુઝર ઇનપુટ્સ, કરો ખાતરી કરો કે તમે તે sanitize, તો તમે તેને સાફ, તમે યોગ્ય વસ્તુઓ માટે ચકાસો, તે શું તમે આપી દીધો છે કે તેને તમે આપવા માંગો છો. હંમેશા સુધારાની કરી શું માળખા તમે ખરેખર ઉપયોગ કરી રહ્યાં છો કે. - જો તમે બુટસ્ટ્રેપ કંઈક ઉપયોગ કરો છો હું તમને ગાય્ઝ વાપરવા માંગો, ખબર તેઓ જવા માટે ચાલી રહ્યું છે, કારણ કે બુટસ્ટ્રેપ પર આ ટૂંક સમયમાં વર્ગ - અને વર્ડપ્રેસ અથવા તે કંઈક, સામાન્ય રીતે આ હેક કરી શકાય છે. 

અને પછી તમે પણ ખબર નથી. તમે માત્ર તમારી વેબસાઇટ ચલાવી રહ્યા છો. અને તે તદ્દન સુરક્ષિત છે. અને તમે જાઓ. તેથી હું ખરેખર શરૂઆતમાં માછીમારી છું. પરંતુ હું Pentest લેબ્સ આભાર કરવા માંગો છો. હું તમને ગાય્ઝ કંઈક બતાવવા જાઉં છું Pentest લેબ્સ છે. તમે ગાય્ઝ ખરેખર રસ હોય તો ખરેખર છે, આ છે શું સુરક્ષા Pentest લેબ્સ જો કહેવાય વેબસાઇટ તમે ગાય્ઝ તે હમણાં પર જાઓ. ઓહ, તો સાથે સાથે, કે છે તે નથી. હું ફક્ત આ જેવી સ્કોર જાઉં છું. ગૂગલ મને જવાબ કહે છે. 

બરાબર. અને તે તમે ઉપયોગ શીખવે છે - તેથી તે કહે છે, વેબ ઘૂંસપેંઠ જાણવા યોગ્ય રીતે પરીક્ષણ. તે તમને શીખવે છે - આસ્થાપૂર્વક, તમે એક નૈતિક વ્યક્તિ છો. પરંતુ તે તમે જોઈ શકો છો કે કેવી રીતે તમે શીખવે છે વેબસાઇટ્સને અંદર મળી શકે છે. અને જો તમે જાણવા જો તમે અંદર વિચાર કેવી રીતે વેબસાઇટ્સ, તમે જાણી શકો છો કે કેવી રીતે નિકળતા પોતાને સુરક્ષિત અંદર વેબસાઇટ્સ. મને ઝૂમ કદાચ તમે ગાય્ઝ કારણ આ અધિકાર જોઈ નથી. 

એસક્યુએલ ઇન્જેક્શન તેથી, ચૂકવવી જેવું હું SQL થી મેળવી શકો છો કેવી રીતે ચૂકવવી ઇન્જેક્શન. અને તમે આ વર્ચ્યુઅલ મશીન ડાઉનલોડ. અને વર્ચ્યુઅલ મશીન પહેલેથી જ આવે છે તમે રહ્યા છો તે વેબસાઇટ સાથે તે માટે પ્રયાસ કરવા જઈ રહી છે. આ પીડીએફ ડાઉનલોડ. અને તે લાઇન દ્વારા લાઇન બતાવશે શું તમે તમે ચકાસી છે, તેમજ કરો. આ શું કોઈ હુમલાખોર ખરેખર છે વેબસાઇટ અંદર વિચાર કરે છે. 

અને આ સામગ્રી કેટલાક જટિલ છે. હું વધુ પર જાઓ શકે માંગો તમે ગાય્ઝ સાથે વસ્તુઓ. પરંતુ હું ચિંતા છે કે તમે ગાય્ઝ ખરેખર નથી - આ હું સાથે ઉપર ગયા છે તમે ગાય્સ, વેબ પરીક્ષણો ઘૂંસપેંઠ ચકાસણી માટે. ખરેખર ખબર નથી કે શું એસક્યુએલ છે અને શું - કાર્લ જેકસનના સેમિનાર તેમજ અદ્ભુત છે. તમે ગાય્ઝ પ્રકારની ખબર નથી આ શું છે. પરંતુ જો તમે ખરેખર આ વેબસાઇટ પર જાઓ, અને આ ટ્યુટોરિયલ્સ અને આ ડાઉનલોડ પીડીએફ, તમે પ્રકારના પર એક નજર કરી શકો છો સુરક્ષા વિસ્તારમાં ખરેખર શું કરે છે ઘૂંસપેંઠ ચકાસણી માં, જુઓ તમે કેવી રીતે કરી શકો છો અંદર વેબસાઇટ્સ વિશે અને રક્ષણ તમારી જાતને તે. 

તેથી હું સુપર ઝડપી ઝાંખી કરો તો તે ક્રોસ સાઇટ સ્ક્રિપ્ટિંગ રોકવા કરવામાં આવશે. તમે htmlspecialchars દરેક ઉપયોગ કરવા માંગો છો યુઝર ઇનપુટ્સ કંઈક સમય. એસક્યુએલ ઇન્જેક્શન બચાવો. તમે તે કરો, તો તમે પહેલાથી જ છો હાર્વર્ડ, એના કરતાં વધુ સારી રીતે તેઓ ભંગ મળ્યો છે. અને તમારા પાસવર્ડ્સ ખાતરી કરો સાદા લખાણમાં નથી. ખાતરી કરો કે તમે શું એક તરફી હેશ માત્ર બનાવો તેમને પણ તમે ક્રિપ્ટ ઉપયોગ કરે છે, જે PHP, હું તમને ગાય્ઝ દર્શાવે છે કે કાર્ય કરે છે. આ રીતે, તમે સારા પ્રયત્ન કરીશું. 

તમારા મિત્રો દો પણ, જો તમે રન તેમની વેબસાઇટ્સ પર મારા પિચકારીની SQL. ચલાવો ક્રોસ સાઇટ સ્ક્રિપ્ટિંગ તેમની વેબસાઇટ્સ પર. અને જો તમે આ વેબસાઇટ્સ ઘણો જોશો નબળાઈઓ એક ટન છે. તે ખૂબ લોકો ભૂલી કેવી રીતે અદ્ભુત છે તેમના ડેટાબેઝ sanitize માટે અથવા બનાવવા માટે ખાતરી કરો કે શું આ વ્યક્તિ inputting સ્ક્રિપ્ટ કોડ નથી. બરાબર. હું પ્રકારના ખરેખર શરૂઆતમાં અંત આવ્યો હતો. પરંતુ કોઈને વિશે કોઇ પ્રશ્નો હોય તો કંઈપણ, તમે મને એક પ્રશ્ન શૂટ કરી શકો છો. અરે વાહ. જાઓ, જાઓ. 

પ્રેક્ષક: મેં હમણાં જ પૂછી શકો છો, તમે ફાઈલ કેવી રીતે કરી શકો છો બરાબર કામ અપલોડ કરો. 

લ્યુસિયાનો Arango: અરે વાહ. તેથી મને તમે ફાઈલ બતાવી દો વાસ્તવિક ઝડપી અપલોડ કરો. તેથી ફાઇલ અપલોડ કરો - સમસ્યા એ છે કે ફાઈલ અપલોડ સમજશક્તિ હમણાં છે - હું તમને ગાય્ઝ માટે કોડ ખોલવા જઈ રહ્યો છું પડદા પાછળ જુઓ. અને તે અપલોડ છે. અહીં ફાઇલ અપલોડરનો માટે સાંકેતિક છે. 

અમે આ જાય પ્રયાસ કરી રહ્યા છો અહીં પર ડિરેક્ટરી. અને અમે પ્રયાસ કરી રહ્યા છો અમે ઇનપુટ એકવાર ફાઇલને isset ફાઇલ - તેથી જ્યારે એક છે પછી, ફાઈલો, કે છબીમાં ફાઇલ અમે અહીં તેને ખસેડવા માટે પ્રયાસ કરો. અમે અહીં પર આ ફાઈલની ગ્રેબ. આ પદ્ધતિ પોસ્ટ, પ્રકાર, છબી, ફાઇલ છે. અને અમે આ ફાઈલની મોકલી રહ્યાં છો. અને પછી અમે તેને મળી જાય, તેથી એક વખત ફાઇલ એક છબી છે, અમે રીતે મોકલી પ્રયાસ કરી રહ્યા છો આ ડિરેક્ટરીમાં. 

સમસ્યા એ છે કે વેબસાઇટ ન હોય છે મને આ ડિરેક્ટરીમાં જાઓ ભાડા તે મને પાછા જવા માંગો છો નથી. તે મને જવા માંગો છો નથી - હું જવા માટે હોય છે - તેથી અહીં અપલોડ છે. અહીં છબીઓ છે. હું તમામ રીતે પાછા જવું પડશે પછી શરૂ થાય છે અને તેને ત્યાં મૂકી અને જાઓ અને ડિરેક્ટરીમાં મૂકો. હું ટર્મિનલ વિન્ડોમાં ચાલી રહ્યું હતું તેથી જો, અને હું એક ફાઇલ ખસેડવા માગે છે - [અશ્રાવ્ય] તે જોઈ શકે છે. હું એક ફાઇલ ખસેડવા માગતા હતા, મેં પછી ફાઈલ નામ મૂકી અને ના સંપૂર્ણ પાથ I ને મોકલવા માંગો છો. 

અને પછી સર્વર નથી મને પાછા જાઓ કરવા. અને તેથી તે ભાડા નથી મને તે ફાઈલ પર મેળવો. પરંતુ સામાન્ય રીતે - જેથી માટે સાંકેતિક છે ફાઇલ અપલોડ. તેથી સામાન્ય રીતે શું થશે એ વ્યક્તિ ચકાસણી ન હોય મારા ફાઇલ . JPEG સાથે અંત થાય છે, તેથી હું તપાસ કરવા માંગો છો કરશે. મને ખૂબ વાસ્તવિક ઝડપી ઉદાહરણ ખોલો. 

બરાબર. આ વ્યક્તિ સાથે મૅરેજ - તેથી ઉદાહરણ તરીકે બે ચકાસે છે preg_match તો - અહીં તે અહીં છે - ખાતરી કરો કે સાથે અંત થાય છે બનાવવા માટે જે સારા હોય છે PHP,,. આ સારી છે. પરંતુ વાસ્તવિક મોટી છે આ સાથે સમસ્યા નથી. આ સારી છે. પરંતુ હું તરીકે ઓળખાતી ફાઈલ મૂકી તો myfavoritepicture.php.jpeg, હું કરી શકે છે હજુ પણ સંભવિત JPEG છૂટકારો મેળવવા અને તે માતાનો PHP ખતરનાક it.k ચલાવો. તમે વ્યક્તિ સમક્ષ રજુ કરવાનો પ્રયત્ન નથી માંગતા તમારી વેબસાઇટ પર કોડ ચલાવવા માટે. 

પરંતુ તે પછી. JPEG પસાર કરી શકો છો. આ વિચાર તમે ખરેખર શું કરવા માંગો છો છે ફાઇલો, એ પણ, ઠીક છે, ન લો છે તે તમે ખરેખર કરવા માંગો છો તેની ખાતરી છે તમે સમગ્ર વિશ્વમાં પર વાંચો. અને કશું જ નથી. તે php. આ કોઈ. PHP છે સમગ્ર ફાઇલ નામ. 

પ્રેક્ષક: પણ તમે કરી શકે મૂકો. JPEG અંત પર. આ સર્વરો હજુ કોડ ચલાવો. 

લ્યુસિયાનો Arango: ના, તે નહીં કરે શરૂઆતમાં ચલાવો. તમે પાછા જાઓ અને પ્રયાસ હોય છે તમે કરી શકો છો તે જોવા માટે - 

પ્રેક્ષક: તેથી અમે હોય - ઠીક છે, સમાવેશ થાય છે કે જે હમણાં જ અન્ય સમૂહ - 

લ્યુસિયાનો Arango: અરે વાહ. 

પ્રેક્ષક: બરાબર. 

લ્યુસિયાનો Arango: અરે વાહ. બરાબર. કોઈપણ અન્ય પ્રશ્નો છે? બરાબર. હું આ રજા ઉપર અને સૉર્ટ જાઉં છું તમે ગાય્ઝ શકે તે જોવા માટે પ્રયાસ - અન્ય મુદ્દાઓ થોડો વધુ છે તેઓ ખૂબ જ જરૂરી છે, કારણ કે જટિલ કરતાં એસક્યુએલ વધુ જ્ઞાન માત્ર વેબ એસક્યુએલ શરૂ જ્ઞાન છે અને શું જાવાસ્ક્રિપ્ટ છે. પરંતુ હું આ રાખવા પ્રયાસ જાઉં છું અને આશા છે કે તમે ગાય્ઝ શીખશે આ વિશે અને એક ડોકિયું લેવા પ્રયાસ શું તમે કરી શકો છો અને કેટલા ઉદાહરણો તમે મારફતે મેળવી શકો છો. 

કોઈપણ કોઈપણ અન્ય છે તે વિશે પ્રશ્ન છે? આગળ વધો. અરે વાહ, શૂટ, શૂટ. અરે વાહ, તો આગળ વધો. આગળ વધો. 

પ્રેક્ષક: બરાબર. તેથી હું વિશે સાંભળ્યું કેવી રીતે મેજિક ખર્ચ પૂરતી સુરક્ષિત નથી. 

લ્યુસિયાનો Arango: શું - મેજિક ખર્ચ? 

પ્રેક્ષક: યાહ. તેથી તે ઉમેરે છે - જેથી જ્યારે પણ તમે ઇનપુટ કંઈક, તે હંમેશા અવતરણ ઉમેરે છે. 

લ્યુસિયાનો Arango: અરે વાહ. અરે વાહ. બરાબર. 

પ્રેક્ષક: અને પછી હું છતાં કામ કર્યું હતું પરંતુ પછી હું તેને શોધી. અને તે તેને સારી નથી જણાવ્યું હતું. પરંતુ હું શા માટે ખાતરી નથી. 

લ્યુસિયાનો Arango: અરે વાહ. 

પ્રેક્ષક:, મેજિક અવતરણ ઉપયોગ કરશો નહીં તે સુરક્ષિત નથી છે. 

લ્યુસિયાનો Arango: બરાબર. તમે એસક્યુએલ દાખલ તેથી જ્યારે મેજિક ખર્ચ છે અને તે પહેલેથી જ તમારા માટે ભાવ ઉમેરે છે. 

પ્રેક્ષક: તે હંમેશા અવતરણ ઉમેરે તમે સાઇન મૂકી ગમે આસપાસ 

લ્યુસિયાનો Arango: અરે વાહ. તેથી તે સાથે સમસ્યા એ છે કે છે - હું પર એક નજર કરીશું - 

પ્રેક્ષક: તે કેવી રીતે પ્રાપ્ત કરે છે એસક્યુએલ નિવેદન? અથવા હું તે હોઈ શકે ધારી જેવા ભાવ પસંદ કરો. 

લ્યુસિયાનો Arango: અરે વાહ, તમે જરૂર એસક્યુએલ માટે સારી અવતરણ. 

પ્રેક્ષક: ના, પરંતુ સર્વરે તે તમારા માટે છે. 

લ્યુસિયાનો Arango: આ નાના અવતરણ અહીં, આ થોડું અવતરણ? 

પ્રેક્ષક: યાહ. 

લ્યુસિયાનો Arango: અરે વાહ. સમસ્યા એ છે કે તમે કરી શકો છો છેલ્લા ટિપ્પણી - ઠીક છે, તેથી હું શું કરી શકો છો છે હું ટિપ્પણી કરી શકે છે બહાર - તેથી આપણે એક નજર - મારા દો લખાણ ફેરફાર કરો ફાઇલ ખોલો. મને હમણાં જ સંપાદિત કરો અહીં સીધી. બરાબર. તમે ગાય્ઝ સ્પષ્ટ છે કે જોઈ શકો છો? હું શું કરી શકો છો હું ટિપ્પણી કરી શકે છે છેલ્લા એક બહાર. આ છેલ્લા એક ટિપ્પણી કરશે. અને પછી હું મૂકવા, અહીં એક મૂકીશું અહીં સર્વ પ્રકારની સામગ્રી. 

તેથી વપરાશકર્તા ખરેખર છે હક, inputting? વપરાશકર્તા inputting નથી વસ્તુઓ, અધિકાર? આ હું ઇનપુટ જાઉં છું શું છે અંદર વિચાર કરવાનો પ્રયાસ વ્યક્તિ. હું મૂકી જાઉં છું - એક કે અવતરણ ચિહ્ન છે. તે ભૂલથી માત્ર squiggly છે. અને પછી શું કોડ કરી રહ્યું છે - માફ કરશો, હું આ બહાર લઇ જાઉં છું. શું કોડ કરી રહ્યું છે તે પ્રથમ ઉમેરો બનશે અવતરણ અહીં ચિહ્નિત કરે છે. અને તે છેલ્લા ઉમેરો બનશે અવતરણ ચિહ્ન એ જ પ્રમાણે. 

અને તે પણ ઉમેરવા બનશે પાંચ છેલ્લે છેલ્લા અવતરણ ચિહ્ન. પરંતુ હું આ અવતરણ ટિપ્પણી છું બહાર ચિહ્નિત કરે છે, તેથી તેઓ દોડતા નથી. અને હું આ અવતરણ ક્રમે રહ્યો છું અહીં પર માર્ક કરો. તમે સમજો છો? તમે ખોવાઈ જાય છે? હું છેલ્લા અવતરણ ટિપ્પણી કરી શકે છે માર્ક અને કાળજી લેવા પ્રથમ અવતરણ ચિહ્ન. 

પ્રેક્ષક: અને માત્ર સમાપ્ત પ્રથમ એક. 

લ્યુસિયાનો Arango: અરે વાહ. અને માત્ર પ્રથમ એક સમાપ્ત કરો. અરે વાહ, તે સાચું છે. કે હું શું કરી શકે છે. અરે વાહ. જેમ અન્ય કોઇ પ્રશ્ન છે? કે જે મહાન પ્રશ્ન છે. ના, હા, કદાચ. આસ્થાપૂર્વક, તમે ગાય્ઝ પ્રકારના કરશે તમે SQL અને અભ્યાસ જ્યારે વધુ અર્થમાં તે જેવી વસ્તુઓ. પરંતુ તમે ખાતરી કરો કે - ઘડિયાળ માં આ સાધનો રાખો. માફ કરશો, અહીં આ સાધનો. આ સાધનો મહાન છે. કોઇ પણ વ્યકિત કોઇ પ્રશ્નો હોય તો, તમે પણ મને ઇમેઇલ કરી શકો છો. આ મારો સામાન્ય ઇમેઇલ છે. અને આ, મારા કામ ઇમેઇલ છે હું સાહસીકોને પર કામ કરે છે. 

ઠીક છે, આભાર. આભાર, ગાય્સ. તમે આગળ વધી શકો છો. તમે અહીં રહેવાની નથી. પાંખો ફફડાવવી નથી. તે ગૂઢ છે. ઠીક છે, આભાર, ગાય્સ.