1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANO Arango: OK, momci. 3 00:00:10,300 --> 00:00:11,550 Moje ime je Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Ja sam student u Adams doma. 5 00:00:13,915 --> 00:00:17,550 A mi ćemo se govori o Sigurnost na webu aktivnu obranu. 6 00:00:17,550 --> 00:00:24,220 Tako ja radim za Ured za informiranje Sigurnost na moru. 7 00:00:24,220 --> 00:00:28,670 A preko ljeta, interniran sam SeguraTec, što je informacija 8 00:00:28,670 --> 00:00:31,310 zaštitarske tvrtke koja je služila za Bank of Columbia. 9 00:00:31,310 --> 00:00:34,740 To govore gdje sam naučila ono što sam do sada naučio. 10 00:00:34,740 --> 00:00:37,990 >> I tako su neki od materijala da smo će ići preko danas, nismo 11 00:00:37,990 --> 00:00:39,670 Stvarno je govorio o klasi. 12 00:00:39,670 --> 00:00:40,410 No, što ćemo uskoro. 13 00:00:40,410 --> 00:00:42,360 To će biti kao što je SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 I mi stvarno nisu otišli preko njega. 15 00:00:44,870 --> 00:00:47,730 Pa ja mogu sortirati leta kroz njega, a možda ne znaju neke stvari. 16 00:00:47,730 --> 00:00:48,890 Ali uskoro, vi ćete ga naučiti. 17 00:00:48,890 --> 00:00:52,080 I to će sve imati smisla. 18 00:00:52,080 --> 00:00:54,010 Također, još jedna stvar - 19 00:00:54,010 --> 00:00:55,780 ostati etički. 20 00:00:55,780 --> 00:01:00,560 Neke od stvari koje ste naučili, što mogao koristiti u ne-etičke načine. 21 00:01:00,560 --> 00:01:01,950 >> Ako je tvoja, svakako probati. 22 00:01:01,950 --> 00:01:04,500 Ja definitivno motivirati momci isprobati svoje vlastite poslužitelje, pokušajte 23 00:01:04,500 --> 00:01:05,519 događa unutar njih. 24 00:01:05,519 --> 00:01:08,500 Pogledajte ako ih ne može probiti, ako mogu dobiti unutar njih. 25 00:01:08,500 --> 00:01:09,560 Ali ne bilo tko drugi. 26 00:01:09,560 --> 00:01:12,390 Policajci stvarno ne volim šale i Cijelo to stavili smo ovdje. 27 00:01:12,390 --> 00:01:14,040 Bili smo se zajebavati. 28 00:01:14,040 --> 00:01:15,780 Oni se jako naljuti. 29 00:01:15,780 --> 00:01:18,700 >> Tako se preko glave na ovoj web stranici. 30 00:01:18,700 --> 00:01:23,560 Imam ga otvorio upravo ovdje. 31 00:01:23,560 --> 00:01:26,780 To je web stranica, a to ima hrpa primjera. 32 00:01:26,780 --> 00:01:30,000 Ono što se događa je da je prvi primjer je vrsta će biti puno lakše 33 00:01:30,000 --> 00:01:33,470 od posljednjeg primjer u smislu da prvi primjer 34 00:01:33,470 --> 00:01:34,970 je potpuno nesigurno. 35 00:01:34,970 --> 00:01:40,850 I posljednja je onakav kakav normalno web sigurnost osoba će učiniti. 36 00:01:40,850 --> 00:01:42,760 No, još uvijek možete svojevrsni od dobiti oko toga. 37 00:01:42,760 --> 00:01:44,860 A mi ćemo se usredotočili na jednu i dva, primjeri jedan i dva. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Počnimo s cross-Site Scripting. 41 00:01:52,780 --> 00:01:56,100 JavaScript je izvoditi na klijenta preglednika. 42 00:01:56,100 --> 00:01:59,980 To je programski jezik koji koristite za rad na klijenta preglednika tako 43 00:01:59,980 --> 00:02:04,120 ne morate ažurirati web stranicu i vratiti na poslužitelj. 44 00:02:04,120 --> 00:02:04,940 Imate ga izvodi. 45 00:02:04,940 --> 00:02:08,870 Na primjer, Facebook, ne moraš Za ponovno učitavanje web stranica za novi status 46 00:02:08,870 --> 00:02:09,710 ažuriranja smisliti. 47 00:02:09,710 --> 00:02:12,170 To je pomoću JavaScript za generiranje sve te stvari. 48 00:02:12,170 --> 00:02:16,290 Dakle, možemo se uvelo zlonamjerni JavaScript na internetskim stranicama. 49 00:02:16,290 --> 00:02:20,890 I na taj način, kad smo poslati link netko, mogli smo na neki način poslati s 50 00:02:20,890 --> 00:02:23,050 Neki od koda koji želimo. 51 00:02:23,050 --> 00:02:26,450 >> Tu je uporan i nepostojani JavaScript - 52 00:02:26,450 --> 00:02:30,640 uporni i nepostojani cross-site skriptiranje, mislim. 53 00:02:30,640 --> 00:02:33,760 A razlika je u tome da je uporni JavaScript je da će biti 54 00:02:33,760 --> 00:02:36,060 Spremaju se na web stranici. 55 00:02:36,060 --> 00:02:39,780 I nepostojani će biti JavaScript da će se zapravo dogoditi samo jednom. 56 00:02:39,780 --> 00:02:41,795 Pa pogledajmo primjer vrlo brzo. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Dakle, ova web stranica, jednostavno, ništa se ne događa ovdje. 60 00:02:51,620 --> 00:02:53,070 A mi ćemo pokušati ubacivanje JavaScript. 61 00:02:53,070 --> 00:02:58,110 Dakle, način na koji smo počeli pisati JavaScript je li početi s početkom pismu. 62 00:02:58,110 --> 00:03:00,570 I mi smo ga zatvoriti s pismom. 63 00:03:00,570 --> 00:03:03,770 Mi jednostavno ćemo staviti poruku - 64 00:03:03,770 --> 00:03:05,410 Ja ću vam pokazati - 65 00:03:05,410 --> 00:03:06,500 oprezu. 66 00:03:06,500 --> 00:03:11,150 Uzbuna je funkcija da JavaScript koristi za prikaz nešto. 67 00:03:11,150 --> 00:03:12,400 Tako ćemo ga pokušati vrlo brzo. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Ja idem, pozdrav upozorenja. 70 00:03:18,944 --> 00:03:20,400 Pa, zaboravio sam staviti - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Dakle, to je jednostavno. 74 00:03:26,540 --> 00:03:28,730 >> Mi smo stavili JavaScript na web stranici, i ona je došao gore. 75 00:03:28,730 --> 00:03:31,200 I to kakve se događa samo Na našoj web stranici, zar ne? 76 00:03:31,200 --> 00:03:33,040 Dakle, čini se kao da to nije Problem je, zar ne? 77 00:03:33,040 --> 00:03:34,920 Mislim, kako ste mogli koristiti ovo zlonamjerno? 78 00:03:34,920 --> 00:03:39,930 Dakle, način na koji hakeri učiniti ovo je stvarno jednostavan. 79 00:03:39,930 --> 00:03:40,970 Oni će ga zgrabiti. 80 00:03:40,970 --> 00:03:43,750 Oni mogu poslati ovaj link na vas. 81 00:03:43,750 --> 00:03:46,780 Ako Poslat ću ovaj link na vas upravo sada, a vi ga otvoriti, to će 82 00:03:46,780 --> 00:03:51,620 kažu, hello, rekavši da je moja web stranica je reći 'bok'. 83 00:03:51,620 --> 00:03:57,280 >> I tako da sam reći nešto malo pametniji, ako sam podići 84 00:03:57,280 --> 00:03:59,880 JavaScript funkcija ja vrsta već pisao - 85 00:03:59,880 --> 00:04:03,940 ali ako na to gledate, ja ću otići preko njega prije nego što sam ga napisao. 86 00:04:03,940 --> 00:04:06,650 Tako ćemo postaviti timeout. 87 00:04:06,650 --> 00:04:08,450 Mi ćemo čekati par sekundi. 88 00:04:08,450 --> 00:04:13,970 U stvari, mi ćemo čekati, ako Ja ne varam, pet sekundi. 89 00:04:13,970 --> 00:04:15,870 To ide u milisekundi. 90 00:04:15,870 --> 00:04:18,640 I što ćemo učiniti je zatim smo će upozoriti da je prijava 91 00:04:18,640 --> 00:04:21,459 Isteklo je vrijeme da se ponovno se prijavite 92 00:04:21,459 --> 00:04:23,990 I mi ćemo se promijeniti mjesto na drugo mjesto. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Dakle, ako ja pošaljem ovu web stranicu kako bi netko, oni će biti 95 00:04:32,970 --> 00:04:34,380 pregledavanje oko, mirna. 96 00:04:34,380 --> 00:04:35,650 Ništa se nije događalo. 97 00:04:35,650 --> 00:04:38,550 I u pet sekundi, to će reći, vaša prijava je isteklo. 98 00:04:38,550 --> 00:04:40,200 Molimo ponovno se prijavite 99 00:04:40,200 --> 00:04:43,400 Nakon što kliknete U redu, ja ću ih odvesti na druge web stranice. 100 00:04:43,400 --> 00:04:45,980 Vjerojatno, web stranice će biti sličan web stranicu koja 101 00:04:45,980 --> 00:04:47,280 oni su bili prije. 102 00:04:47,280 --> 00:04:50,770 I oni će se prijavite svoje vjerodajnice u mojoj web stranici, umjesto 103 00:04:50,770 --> 00:04:51,850 svoje web stranice. 104 00:04:51,850 --> 00:04:54,780 >> I tako ja mogu poslati ljude e-mail s ovim linkom. 105 00:04:54,780 --> 00:04:56,240 Kažem, oh, evo link. 106 00:04:56,240 --> 00:04:57,290 To je banka, na primjer. 107 00:04:57,290 --> 00:05:01,390 Kažem, ovdje, idite na ovaj link. 108 00:05:01,390 --> 00:05:03,730 I kad su ga poslali, oni su će biti pregledavanja okolo. 109 00:05:03,730 --> 00:05:07,560 Ja mogu čekati 15 sekundi, 20 sekundi, a zatim pop koji logirajte davne 110 00:05:07,560 --> 00:05:08,840 potpisati na leđa. 111 00:05:08,840 --> 00:05:10,120 Momci, možete probati s puno više stvari. 112 00:05:10,120 --> 00:05:13,190 To je komplicirano, jer ti dečki nisu vidjeli JavaScript, tako da možda 113 00:05:13,190 --> 00:05:14,750 Ne znam neke funkcije. 114 00:05:14,750 --> 00:05:18,625 No, sve što morate učiniti je početi s pismom, završava s pismom. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 A ti bi mogao staviti ništa u sredini. 117 00:05:25,510 --> 00:05:27,350 >> Uzbuna je funkcija, čekati. 118 00:05:27,350 --> 00:05:29,365 Prozor mjesto vodi na novo mjesto. 119 00:05:29,365 --> 00:05:31,370 Ali, možete učiniti mnogo više. 120 00:05:31,370 --> 00:05:32,630 I tako je ideja da uzmemo da je off. 121 00:05:32,630 --> 00:05:39,350 Ako idem na primjer dva, a ja staviti u tom istom kodu, to je 122 00:05:39,350 --> 00:05:40,210 ne ide na posao. 123 00:05:40,210 --> 00:05:43,620 Dakle, to znači tiskanje sve riješiti, jer ono što ove web stranice je izvorno 124 00:05:43,620 --> 00:05:50,350 radi se ako sam stavio nešto ovdje, to će ga isprintati ovdje. 125 00:05:50,350 --> 00:05:52,390 Dakle, to ne znači tiskanje ništa. 126 00:05:52,390 --> 00:05:55,560 Ovaj primjer je zapravo pravopisa da li skripta je tu. 127 00:05:55,560 --> 00:05:57,163 Tako da, samo naprijed. 128 00:05:57,163 --> 00:05:57,606 Pitajte me. 129 00:05:57,606 --> 00:05:59,560 >> Ivanković: Nije slanje dobiti ili postavljati zahtjev? 130 00:05:59,560 --> 00:06:00,670 >> LUCIANO Arango: Da. oni su slanjem GET zahtjev. 131 00:06:00,670 --> 00:06:01,350 >> Ivanković: To je? 132 00:06:01,350 --> 00:06:02,490 >> LUCIANO Arango: Da. 133 00:06:02,490 --> 00:06:04,030 Također preglednici koriste postavljati zahtjeve. 134 00:06:04,030 --> 00:06:07,470 Ali ja pokušavam pokazati se zahtjeva tako da možemo vidjeti što je 135 00:06:07,470 --> 00:06:10,760 zapravo događa. 136 00:06:10,760 --> 00:06:12,880 I tako, ako pogledamo ovaj kod - pa ne radi više. 137 00:06:12,880 --> 00:06:24,870 A ako ćemo uzeti pogledati ovaj kod, to će biti primjer dva. 138 00:06:24,870 --> 00:06:29,300 Ono što ta osoba radi, osoba zadužena za ovaj preglednik - 139 00:06:29,300 --> 00:06:35,370 otvaraju, OK - 140 00:06:35,370 --> 00:06:39,290 zamjenjuje riječ skriptu. 141 00:06:39,290 --> 00:06:42,850 To je PHP, što ti dečki bi mogli Vidjeli malo još. 142 00:06:42,850 --> 00:06:46,250 >> On je samo zamjene Riječ skripta sa imenom. 143 00:06:46,250 --> 00:06:50,895 Pa ipak, ako sam ići naprijed i samo staviti u - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 ako sam zgrabiti moj broj opet, i ja ću ga mijenjati samo malo. 146 00:07:02,360 --> 00:07:15,010 Umjesto pisma, ja ću promijeniti je za skriptu s kapitalom i R. 147 00:07:15,010 --> 00:07:16,390 ćemo vidjeti je li to kod radi. 148 00:07:16,390 --> 00:07:19,090 Dakle, to nije to isprintati, što je dobar znak. 149 00:07:19,090 --> 00:07:21,990 I nadamo se u još dvije sekunde, to će pop-up. 150 00:07:21,990 --> 00:07:22,820 >> Vaš prijava je isteklo. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Nema problema. 153 00:07:24,460 --> 00:07:27,670 Dakle provjere skriptu možda ne mora nužno raditi. 154 00:07:27,670 --> 00:07:28,130 Osoba - 155 00:07:28,130 --> 00:07:32,290 ona također može provjeriti skripte velika slova, skripte mala, str slučaj 156 00:07:32,290 --> 00:07:34,180 usporedbu, uvjerite se da su isti. 157 00:07:34,180 --> 00:07:38,480 No, hakeri ipak može napraviti svojevrsno ono što smo učinili u Vigenere kad smo se preselili 158 00:07:38,480 --> 00:07:40,620 natrag par likova, pomaknuti prema naprijed. 159 00:07:40,620 --> 00:07:43,470 I to se može shvatiti kako staviti skriptu natrag unutra, tako da može ubrizgati 160 00:07:43,470 --> 00:07:44,460 da skripta. 161 00:07:44,460 --> 00:07:50,370 >> Dakle, ono što želite koristiti je htmlspecialchars se 162 00:07:50,370 --> 00:07:51,330 zaštitili svoje web stranice. 163 00:07:51,330 --> 00:07:56,490 A što to čini se čini sigurni da je ono što ste stavili u - 164 00:07:56,490 --> 00:07:59,610 za primjer, navodi ili ovo veći ili manji od - 165 00:07:59,610 --> 00:08:04,701 zamijenjen nečim da neće biti - 166 00:08:04,701 --> 00:08:05,951 neka mi zumirati ovdje - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 Stvarni znak za struju. 169 00:08:09,685 --> 00:08:13,420 On će zamijeniti one posebne HTML likovi koji Vidjet ćemo kad smo 170 00:08:13,420 --> 00:08:14,670 govori o - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 Oh, ovo će me odvesti natrag - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 ti likovi upravo ovdje. 175 00:08:25,380 --> 00:08:28,180 >> To znači da se nešto dolazi. 176 00:08:28,180 --> 00:08:31,570 Za HTML, koji počinje zagrada govori nam da nešto 177 00:08:31,570 --> 00:08:33,299 HTML vezani dolazi. 178 00:08:33,299 --> 00:08:33,980 I želimo riješiti to. 179 00:08:33,980 --> 00:08:36,200 Mi ne želimo staviti u HTML website.k Ne želimo korisniku da bude 180 00:08:36,200 --> 00:08:40,260 mogućnosti staviti nešto u svojoj internetskoj stranici koji mogu utjecati na njihovu web stranicu, kao što su 181 00:08:40,260 --> 00:08:43,480 skripte ili HTML ili nešto slično. 182 00:08:43,480 --> 00:08:53,090 Ono što je važno je da vam dezinficirajte korisničkog unosa. 183 00:08:53,090 --> 00:08:54,720 >> Tako korisnici mogu ulazne mnoge stvari. 184 00:08:54,720 --> 00:08:58,110 On je moguć ulaz hrpa stvari za probati da prevari svoj preglednik u još 185 00:08:58,110 --> 00:08:59,410 trčanje ovaj kod skripte. 186 00:08:59,410 --> 00:09:02,870 Što želite učiniti je ne samo gledati za scenarij, ali izgleda za sve 187 00:09:02,870 --> 00:09:04,250 koji bi mogao biti zloban. 188 00:09:04,250 --> 00:09:06,800 I htmlspecialchars će to učiniti za vas, tako da ne morate 189 00:09:06,800 --> 00:09:07,340 brinuti o tome. 190 00:09:07,340 --> 00:09:12,280 Ali ne pokušati učiniti sami vrsta sa svojim kodom. 191 00:09:12,280 --> 00:09:14,055 Jesu li svi jasno na XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Idemo na SQL injekcije. 194 00:09:16,355 --> 00:09:21,010 Dakle, SQL injection je vjerojatno broj jedan ranjivost 195 00:09:21,010 --> 00:09:22,490 na različite web stranice. 196 00:09:22,490 --> 00:09:24,350 Mislim, dobar primjer - 197 00:09:24,350 --> 00:09:27,350 Upravo sam bio istraživanje najdalje za ovu stvar. 198 00:09:27,350 --> 00:09:34,430 I našao sam ovaj strašan članak, u kojem Vidio sam da je Harvard bio probijen, 199 00:09:34,430 --> 00:09:35,390 hakiran. 200 00:09:35,390 --> 00:09:37,370 I pitao sam se, dobro, kako bi oni to učiniti? 201 00:09:37,370 --> 00:09:41,660 Harvard je većina strašan, većina osigurati sveučilište ikad. 202 00:09:41,660 --> 00:09:43,850 Zar ne? 203 00:09:43,850 --> 00:09:45,410 Pa, da ugroze poslužiteljima, hakeri koriste 204 00:09:45,410 --> 00:09:47,710 Tehnika pod nazivom SQL injection. 205 00:09:47,710 --> 00:09:50,250 >> Tako se to dogodi na osnovi dana u dan. 206 00:09:50,250 --> 00:09:53,590 Ljudi zaboravljaju da uzme u obzir za SQL injekcije. 207 00:09:53,590 --> 00:09:54,930 Harvard radi. 208 00:09:54,930 --> 00:10:00,050 Mislim da ovdje piše, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Pa kako ćemo raditi - pa što je ovo SQL injekcije koje donosi sve to 210 00:10:03,550 --> 00:10:05,668 ljudi dolje? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Dakle, SQL je programski jezik koji ćemo koristiti za pristup bazama podataka. 213 00:10:12,090 --> 00:10:14,560 Ono što mi radimo je da odaberete - 214 00:10:14,560 --> 00:10:18,510 pa što je ovo čita upravo sada je odabrati sve sa stola. 215 00:10:18,510 --> 00:10:22,640 >> SQL, on promijeni u tim bazama podataka da su tablice pune informacije. 216 00:10:22,640 --> 00:10:26,550 Dakle odaberite sve od korisnika gdje je ime ime. 217 00:10:26,550 --> 00:10:28,120 Zar ne? 218 00:10:28,120 --> 00:10:30,770 Vrlo jednostavna. 219 00:10:30,770 --> 00:10:34,490 Ideja SQL injekcije je da smo ubacivanje malicioznog koda koji bi 220 00:10:34,490 --> 00:10:37,270 izigrati poslužitelj u trčanje nešto drugačiji nego što je to 221 00:10:37,270 --> 00:10:38,430 izvorno je pokrenut. 222 00:10:38,430 --> 00:10:44,970 Tako recimo za korisničko ime, stavimo u 1 ili jednak 1. 223 00:10:44,970 --> 00:10:46,700 Tako smo stavili u ili 1 jednak 1. 224 00:10:46,700 --> 00:10:49,890 Tako će čitati sada će biti odaberite od korisnika, sve od 225 00:10:49,890 --> 00:10:51,360 Korisnici - to je sve - 226 00:10:51,360 --> 00:10:55,880 gdje je ime ime, ali korisničko ime je ili 1 jednak 1. 227 00:10:55,880 --> 00:11:01,760 >> Dakle ime je ništa ili 1 jednak 1. 228 00:11:01,760 --> 00:11:04,060 1 jednako 1 je uvijek istina. 229 00:11:04,060 --> 00:11:07,690 Dakle, to će se uvijek vratiti podatke od strane korisnika. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Mi ne trebamo imati ispravno korisničko ime. 232 00:11:10,030 --> 00:11:14,240 Mi samo možemo imati sve što želimo, i da će se vratiti podatke 233 00:11:14,240 --> 00:11:15,690 da nam je potrebna. 234 00:11:15,690 --> 00:11:17,160 Pogledajmo još jedan primjer. 235 00:11:17,160 --> 00:11:22,720 >> Ako smo odabrali sve, od korisnika, gdje je ime kap tablica korisnik - 236 00:11:22,720 --> 00:11:26,420 pa što ti misliš da ta volja učiniti ako sam stavio u username 237 00:11:26,420 --> 00:11:29,560 kao kap tablica korisnike? 238 00:11:29,560 --> 00:11:30,230 Svatko tko ima ideju? 239 00:11:30,230 --> 00:11:31,050 Da. 240 00:11:31,050 --> 00:11:32,470 >> Ivanković: Bit će to reći je na deponij sve tablice. 241 00:11:32,470 --> 00:11:35,460 >> LUCIANO Arango: To će nam reći na deponij sve na internetskim stranicama, 242 00:11:35,460 --> 00:11:38,290 sve u bazi podataka. 243 00:11:38,290 --> 00:11:41,910 I ono što ljudi koriste to za - tako Ja ću vam pokazati dečki. 244 00:11:41,910 --> 00:11:45,462 Ja onemogućen spustivši tablice jer nisam ti želim 245 00:11:45,462 --> 00:11:48,240 dečki da ispadne moje tablice. 246 00:11:48,240 --> 00:11:49,850 Uzmimo pogled na ovo. 247 00:11:49,850 --> 00:11:54,410 Dakle, to jednostavno skida podatke za određenu osobu. 248 00:11:54,410 --> 00:11:57,550 Pa kako ćemo znati ako je to pogođeni i SQL injection. 249 00:11:57,550 --> 00:12:01,545 Idemo provjeriti vrlo brzo ako mi možete staviti nešto - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 neka mi kopirati taj kod. 252 00:12:06,080 --> 00:12:08,140 Ja ću ići preko njega u sekundi. 253 00:12:08,140 --> 00:12:12,210 Ja ću staviti korijen i 1 jednak 1. 254 00:12:12,210 --> 00:12:15,510 >> Ovo ovdje, ovo znak postotka 23 - 255 00:12:15,510 --> 00:12:19,970 što to stvarno je, ako sam Pogledajte ovdje na - 256 00:12:19,970 --> 00:12:23,820 način HTML traje u brojkama, ako Pogledajmo kad sam stavio u prostoru 257 00:12:23,820 --> 00:12:28,380 ovdje - ako mi je nešto prostora ovdje, da ga mijenja na 2 posto. 258 00:12:28,380 --> 00:12:31,420 Vidite li vi to vidite ovdje kad sam stavio u prostoru? 259 00:12:31,420 --> 00:12:36,710 Način na koji to radi je da možete samo poslati ASCII vrijednosti kroz HTML. 260 00:12:36,710 --> 00:12:40,330 Dakle, može zamijeniti, na primjer, Prostor s 20 posto. 261 00:12:40,330 --> 00:12:41,970 Ja ne znam da li vi momci Vidjeli su da prije. 262 00:12:41,970 --> 00:12:45,100 >> On zamjenjuje hashtag s 23 posto. 263 00:12:45,100 --> 00:12:50,840 Trebamo hashtag na kraju ili izjavu, tako da možemo reći 264 00:12:50,840 --> 00:13:00,885 Baza zaboraviti komentirati out ovaj zadnji zarez na kraju. 265 00:13:00,885 --> 00:13:03,060 Želimo da se ne razmišljati o tome. 266 00:13:03,060 --> 00:13:05,980 Mi samo želimo da se izvoditi sve da imamo unaprijed i 267 00:13:05,980 --> 00:13:07,450 komentirati to. 268 00:13:07,450 --> 00:13:08,710 Uzmimo pogled na njega. 269 00:13:08,710 --> 00:13:14,670 >> Dakle, ako sam ja staviti nešto krivo - recimo za primjer, ja sam stavio 2 jednako 270 00:13:14,670 --> 00:13:15,690 1, ne daje mi ništa. 271 00:13:15,690 --> 00:13:22,930 Kad sam stavio u 1 jednak 1, i to ne vratiti nešto, to mi govori da je 272 00:13:22,930 --> 00:13:24,660 ovo je osjetljiva na SQL injection. 273 00:13:24,660 --> 00:13:29,090 Sad znam da je ono što Stavio sam nakon toga - 274 00:13:29,090 --> 00:13:39,110 i, na primjer, kap TABLICE ili nešto slično 275 00:13:39,110 --> 00:13:41,190 definitivno će raditi. 276 00:13:41,190 --> 00:13:44,350 Znam da je ranjiv na SQL injection jer znam da 277 00:13:44,350 --> 00:13:49,850 ispod poklopca motora, to je ostavljajući učinim 1 jednak 1 stvar. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> A ako pogledamo ove one druge, broj dva i broj tri, to je 281 00:13:56,540 --> 00:13:59,110 će učiniti nešto više provjere ispod 282 00:13:59,110 --> 00:14:03,680 napa što je to. 283 00:14:03,680 --> 00:14:07,425 Dakle, svatko omogućiti pad ništa još i pokušao? 284 00:14:07,425 --> 00:14:08,760 Vidite li vi kakve se još SQL? 285 00:14:08,760 --> 00:14:10,430 Jer znam da ti dečki nisu ga još nije vidio, pa to je vrsta 286 00:14:10,430 --> 00:14:11,759 zbunjujuće za vas. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Idemo pogledati. 289 00:14:18,480 --> 00:14:21,270 Dakle, što je način da se spriječi SQLI? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Dakle, ovo je jako važno jer vam dečki svakako žele spriječiti 292 00:14:23,330 --> 00:14:24,090 ovo u vaše web stranice. 293 00:14:24,090 --> 00:14:28,040 >> Ako ne, svi vaši prijatelji će ismijavati vas kad ispadne sve 294 00:14:28,040 --> 00:14:29,390 tablicama. 295 00:14:29,390 --> 00:14:36,150 Dakle, ideja je da se popraviti SQL na određeni način, dok se podudaraju 296 00:14:36,150 --> 00:14:41,940 ono što korisnik ulaza s određeni niz. 297 00:14:41,940 --> 00:14:46,120 Dakle način to radi je li priprema baze podataka. 298 00:14:46,120 --> 00:14:50,830 Vi odaberite naziv, boju i kalorija iz baze podataka pod nazivom voća. 299 00:14:50,830 --> 00:14:53,580 I onda gdje kalorija manje od, i stavili smo upitnik postoji 300 00:14:53,580 --> 00:14:56,530 rekavši da ćemo ulaz nešto u sekundi. 301 00:14:56,530 --> 00:14:58,850 >> I boje jednako, a mi staviti pitanje Mark kaže da ćemo 302 00:14:58,850 --> 00:15:00,913 Ulaz se nešto u sekundi, kao dobro. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 I onda smo ga izvršiti, stavljajući u 150 i crvene. 305 00:15:09,920 --> 00:15:12,820 A to će se provjeriti kako bi sigurni da su ta dvojica - 306 00:15:12,820 --> 00:15:15,300 ovo polje će provjeriti da su ti dva su broj i 307 00:15:15,300 --> 00:15:16,550 da je to niz. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Onda idemo, a mi dohvatiti svega, mi smo se crveno. 310 00:15:20,890 --> 00:15:21,964 To znači da možemo dohvatiti sve. 311 00:15:21,964 --> 00:15:26,790 To znači da mi zapravo izvršiti SQL izjava i stavio ga natrag u crveno. 312 00:15:26,790 --> 00:15:30,530 Ovdje ćemo učiniti isto, ali mi učiniti isto za žute. 313 00:15:30,530 --> 00:15:32,490 I mi dohvatiti sve. 314 00:15:32,490 --> 00:15:36,140 >> I na ovaj način, možemo spriječiti korisnika od toga da bude u mogućnosti da unesete nešto 315 00:15:36,140 --> 00:15:41,710 to nije ono što je navedeno, string ili cijeli broj, na primjer. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Ja sam govorio ranije o oslanjajući se na drugima. 318 00:15:46,610 --> 00:15:50,010 Kad ste vi početi svoj projekt, ti si zasigurno će se koristiti 319 00:15:50,010 --> 00:15:52,310 početno dizanje ili nešto slično. 320 00:15:52,310 --> 00:15:53,490 Jeste li vi ikad koristili Wordpress? 321 00:15:53,490 --> 00:15:57,170 Vjerojatno ti dečki su koristili Wordpress najvjerojatnije. 322 00:15:57,170 --> 00:16:00,050 Dakle, problem s korištenjem tuđe stvari - 323 00:16:00,050 --> 00:16:05,940 Samo ću na Google vrlo brzo Wordpress ranjivost. 324 00:16:05,940 --> 00:16:07,495 >> Ako sam to povući do sada - 325 00:16:07,495 --> 00:16:08,995 Doslovno sam učinio dva drugi Googleu. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Možemo vidjeti da Wordpress - 328 00:16:13,800 --> 00:16:17,450 to je datiran u rujnu '12. 329 00:16:17,450 --> 00:16:19,120 26 ažurira. 330 00:16:19,120 --> 00:16:23,620 Zadana konfiguracija Wordpress Prije 3,6 ne spriječi to 331 00:16:23,620 --> 00:16:27,110 određene slike, koje bi mogle olakšavaju 332 00:16:27,110 --> 00:16:29,790 cross-site scripting napada. 333 00:16:29,790 --> 00:16:34,530 Tako brzo priča, nakon što smo radili s - pa sam bio, u ljetnim mjesecima, radeći 334 00:16:34,530 --> 00:16:34,970 staž. 335 00:16:34,970 --> 00:16:40,400 I mi smo radili s vrstom kao velika kreditna kartica tvrtke. 336 00:16:40,400 --> 00:16:42,020 >> I oni se oslanjaju na nešto što se zove - 337 00:16:42,020 --> 00:16:45,740 Ja ne znam da li ste vi ikada igrao s proizvod zove Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla je proizvod koji se koristi za Kontrola - vrsta slična 339 00:16:51,750 --> 00:16:54,340 Wordpress, koriste za izgradnju web stranice. 340 00:16:54,340 --> 00:16:56,060 Tako su imali svoju web stranicu radeći na Joomla. 341 00:16:56,060 --> 00:16:59,290 To je zapravo kreditna kartica tvrtka u Kolumbiji. 342 00:16:59,290 --> 00:17:01,000 Odvest ću te na njihovu Web stranice vrlo brzo. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Dakle, oni koriste Joomla. 345 00:17:05,400 --> 00:17:08,630 A oni nisu izmijenjena Joomla za najnoviji dodatak. 346 00:17:08,630 --> 00:17:12,160 I tako, kada smo bili uzimanje pogledati njihov broj, bili smo u mogućnosti da se zapravo 347 00:17:12,160 --> 00:17:18,430 ići u svom kodu i kradu sve podatke o kreditnoj kartici koji su imali, 348 00:17:18,430 --> 00:17:21,670 svi brojevi kreditnih kartica, imena, adrese. 349 00:17:21,670 --> 00:17:22,740 A to je bio samo - 350 00:17:22,740 --> 00:17:23,569 i njihov broj je savršeno u redu. 351 00:17:23,569 --> 00:17:24,710 Oni su imali veliki broj. 352 00:17:24,710 --> 00:17:25,389 To je bilo sve sigurnosti. 353 00:17:25,389 --> 00:17:26,520 Provjerili su sve baze podataka. 354 00:17:26,520 --> 00:17:29,020 Oni su sigurni cross-site skriptiranje je u redu. 355 00:17:29,020 --> 00:17:34,390 >> No, oni koriste nešto što nije bilo izmijenjena, da nije bio siguran. 356 00:17:34,390 --> 00:17:36,940 I, tako da ih je doveo do - pa vi momci su svakako će koristiti i druge 357 00:17:36,940 --> 00:17:40,650 ljudi kod, tuđe okvire izgraditi vaše web stranice. 358 00:17:40,650 --> 00:17:43,860 Pobrinite se da su oni sigurno, jer ponekad je ne, onaj koji 359 00:17:43,860 --> 00:17:44,480 pogriješi. 360 00:17:44,480 --> 00:17:47,440 Ali netko drugi napravi grešku, a onda vam pasti zbog toga. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Lozinke i PII. 363 00:17:53,885 --> 00:17:56,820 Dakle lozinke. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Idemo pogledati lozinke vrlo brzo. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Molim vas recite mi da je svatko koristi sigurno - 369 00:18:06,520 --> 00:18:09,030 Nadam se svima ovdje koristi sigurne lozinke. 370 00:18:09,030 --> 00:18:12,890 Ja sam samo pustiti da u kao pretpostavka. 371 00:18:12,890 --> 00:18:14,850 Dakle, vi ovo definitivno ide na spremanje lozinki za vaše web stranice. 372 00:18:14,850 --> 00:18:17,440 Ti ćeš napraviti nešto slično Prijava ili nešto slično. 373 00:18:17,440 --> 00:18:19,610 Ono što je važno je da se ne pohraniti lozinki u običan tekst. 374 00:18:19,610 --> 00:18:20,860 To je izuzetno važno. 375 00:18:20,860 --> 00:18:23,960 Vi ne želite pohraniti lozinku u običan tekst. 376 00:18:23,960 --> 00:18:27,370 >> A svakako ne stvarno želite da ga pohraniti u jednom smjeru mljeveno meso. 377 00:18:27,370 --> 00:18:32,440 Dakle, ono što jedan način hash je da kada se generirati riječ, kada se stavi ovo 378 00:18:32,440 --> 00:18:36,200 Riječ u hash funkcije, to će generirati vratiti nekakav zagonetan 379 00:18:36,200 --> 00:18:39,390 poruka ili grobni set ključeva. 380 00:18:39,390 --> 00:18:40,640 Pokazat ću vam jedan primjer. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Idem hash Oni riječi password1. 383 00:18:50,250 --> 00:18:55,280 Dakle MD5 hash će me vratiti nekakav čudan informacija. 384 00:18:55,280 --> 00:18:59,140 >> Problem je u tome što ljudi vani koji vole ići na web stranicama imaju 385 00:18:59,140 --> 00:19:02,750 već shvatili vrsta svih MD5 hashes. 386 00:19:02,750 --> 00:19:06,030 Ono što su učinili je da sjedne na svoje računala, a oni svaki raspršen 387 00:19:06,030 --> 00:19:09,660 jedna je moguće riječ vani dok su dobili svojevrsni što je ovo. 388 00:19:09,660 --> 00:19:11,420 Ako mi je gledati ovo gore - 389 00:19:11,420 --> 00:19:12,420 Samo sam zgrabio ovu mljeveno meso. 390 00:19:12,420 --> 00:19:14,120 Ako sam dobiti ovaj hašiš iz - 391 00:19:14,120 --> 00:19:17,470 ako idem na web stranicu, a ne mogu naći to hash jer sam doći do 392 00:19:17,470 --> 00:19:24,100 baze podataka, te sam ga gledati, netko Već ga shvatio za mene. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Da. 395 00:19:29,100 --> 00:19:35,030 Dakle, ljudi sjede, a sve što MD5 mljeveno meso koje ste stavili u, oni će 396 00:19:35,030 --> 00:19:37,760 vratiti k vama nešto da je riječ. 397 00:19:37,760 --> 00:19:39,800 Ako sam hash ni riječi, kao što su - 398 00:19:39,800 --> 00:19:42,410 Ne znam - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Ja ne želim biti razočaran po mom Google pretraživanja. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Tu je, trees2. 403 00:19:52,780 --> 00:19:55,930 Dakle, puno web još uvijek koriste MD5 hash. 404 00:19:55,930 --> 00:19:57,730 Oni kažu, oh, to je sigurno. 405 00:19:57,730 --> 00:19:58,570 Nećemo pohranjivanja u običan tekst. 406 00:19:58,570 --> 00:19:59,740 Mi imamo taj MD5 hash. 407 00:19:59,740 --> 00:20:01,880 A sve što morate učiniti je jednostavno Google broj. 408 00:20:01,880 --> 00:20:03,940 >> Ja čak ne moraju osobno izračunati. 409 00:20:03,940 --> 00:20:06,790 Ja samo mogu ga Google, a netko Već je to učinio za mene. 410 00:20:06,790 --> 00:20:08,010 Evo hrpa njih. 411 00:20:08,010 --> 00:20:09,260 Evo hrpa lozinke. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Dakle, definitivno ne koriste MD5 hash, jer sve što morate 414 00:20:18,680 --> 00:20:19,140 to je Google to. 415 00:20:19,140 --> 00:20:20,390 Dakle, ono što ne želite koristiti umjesto? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Nešto što se zove soljenje. 419 00:20:31,260 --> 00:20:32,460 Dakle, ono što je soljenje - 420 00:20:32,460 --> 00:20:36,280 vi, dečki, sjećam se kad smo bili govorimo o random u - 421 00:20:36,280 --> 00:20:37,920 Nisam siguran što pset je bilo - 422 00:20:37,920 --> 00:20:41,140 je to pset postoji ili četiri? 423 00:20:41,140 --> 00:20:45,150 >> Razgovarali smo o pronalaženju iglu u plastu sijena. 424 00:20:45,150 --> 00:20:48,480 I u pset, on je rekao da bi mogao zapravo shvatiti što slučajni 425 00:20:48,480 --> 00:20:51,840 generira, jer je netko već vodio slučajni milijun puta i samo 426 00:20:51,840 --> 00:20:53,230 vrsta formirana što oni stvaraju. 427 00:20:53,230 --> 00:20:55,840 Što želite učiniti je staviti u neki ulaz. 428 00:20:55,840 --> 00:20:57,130 Dakle, to je ono što soljenje vrsta je. 429 00:20:57,130 --> 00:21:00,900 Oni su već shvatili što soljenja vraća za svaki posao. 430 00:21:00,900 --> 00:21:04,750 >> Dakle, što se je soljenje stavite u soli. 431 00:21:04,750 --> 00:21:06,160 Možete staviti u određenom riječi. 432 00:21:06,160 --> 00:21:09,720 I to će hash tu riječ ovisno Na što ste stavili ovamo. 433 00:21:09,720 --> 00:21:13,570 Dakle, ako sam hash password jedan s ovim rečenica, to će hash 434 00:21:13,570 --> 00:21:17,180 drugačije, ako sam hash password1 s drugom rečenicom. 435 00:21:17,180 --> 00:21:21,670 To na neki način daje negdje početi za izračunavanje sažetka za početak. 436 00:21:21,670 --> 00:21:25,970 Tako da je puno teže izračunati, ali ti Još uvijek mogu računati, a posebno 437 00:21:25,970 --> 00:21:26,830 ako koristite loš sol. 438 00:21:26,830 --> 00:21:29,650 >> Ljudi su već i smislili zajedničke soli i shvatio 439 00:21:29,650 --> 00:21:31,500 ono da je to. 440 00:21:31,500 --> 00:21:34,980 Slučajne soli su mnogo bolje, ali najbolji način je da koristite 441 00:21:34,980 --> 00:21:38,160 nešto što se zove kripta. 442 00:21:38,160 --> 00:21:40,480 A što kripta omogućuje ne - tako da ove funkcije su 443 00:21:40,480 --> 00:21:41,820 već izgrađen za vas. 444 00:21:41,820 --> 00:21:44,910 Mnogi ljudi zaboravljaju da, ili oni zaboravljaju da ih koriste. 445 00:21:44,910 --> 00:21:54,520 Ali, ako sam pogledati kripti PHP, kriptu Već vraća hash string za mene. 446 00:21:54,520 --> 00:21:58,790 I to je zapravo to soli mnogo puta i sasjecka to mnogo puta. 447 00:21:58,790 --> 00:22:00,070 >> Dakle, mi ne moramo to učiniti. 448 00:22:00,070 --> 00:22:04,790 Dakle, sve što morate učiniti je poslati ga u kripti. 449 00:22:04,790 --> 00:22:08,170 I to će stvoriti veliki mljeveno meso bez ti brige o soli 450 00:22:08,170 --> 00:22:08,990 ili bilo što. 451 00:22:08,990 --> 00:22:12,000 Zato, ako ste bili na sol to, imate zapamtiti što sol koju koristi 452 00:22:12,000 --> 00:22:13,800 jer ako ne, ne možete dobiti svoj Lozinka natrag bez 453 00:22:13,800 --> 00:22:15,760 soli koje ste koristili. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> I također osobno identificirati informacije. 457 00:22:23,150 --> 00:22:26,730 Dakle socijalno osiguranje, kreditne kartice - to je prilično očito. 458 00:22:26,730 --> 00:22:31,880 No, ponekad ljudi zaborave na način da Radovi se, koliko informacija možete učiniti 459 00:22:31,880 --> 00:22:35,690 zapravo morati naći neki jednu osobu? 460 00:22:35,690 --> 00:22:37,740 Netko je studiju o ovaj put natrag. 461 00:22:37,740 --> 00:22:40,870 I to je bilo kao, ako imate Puno ime i prezime, ne mogu naći 462 00:22:40,870 --> 00:22:41,610 netko da je lako. 463 00:22:41,610 --> 00:22:43,900 No, što ako imate puno ime i njihov datum rođenja? 464 00:22:43,900 --> 00:22:47,770 Je li to dovoljno da se identificiraju netko posebno? 465 00:22:47,770 --> 00:22:52,760 >> Što ako imate svoje ime i Ulica koja žive na? 466 00:22:52,760 --> 00:22:55,110 Je li to dovoljno da se naći netko? 467 00:22:55,110 --> 00:23:02,490 I to kad su u pitanje, što je osobne informacije, i 468 00:23:02,490 --> 00:23:05,360 što bi trebao brinuti o ne davanje daleko? 469 00:23:05,360 --> 00:23:08,770 Ako vam dati osobni prepoznatljive informacije koje vam netko daje, 470 00:23:08,770 --> 00:23:11,420 što bi potencijalno mogao završiti na sudu. 471 00:23:11,420 --> 00:23:12,610 A mi definitivno ne želim to. 472 00:23:12,610 --> 00:23:14,955 >> Dakle, kada ste stavljajući svoje web stranice out, a vi ste stvarno cool 473 00:23:14,955 --> 00:23:17,230 Dizajn, nadamo se da je napravio strašan konačni projekt. 474 00:23:17,230 --> 00:23:18,370 Bilo koju vrst želite stavi ga vani. 475 00:23:18,370 --> 00:23:21,420 Vi želite biti sigurni da je ono što koje uzimate od korisnika, ako je to 476 00:23:21,420 --> 00:23:25,310 osobne informacije, što želite biti sigurni da ste se stvarno 477 00:23:25,310 --> 00:23:26,560 oprezni s njim. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Ubrizgavanje Shell. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Shell ubrizgavanja omogućuje da ga uljez dobili pristup svoje stvarne zapovjedne linije 482 00:23:37,590 --> 00:23:39,660 na vašem poslužitelju. 483 00:23:39,660 --> 00:23:44,060 I tako je u stanju pokrenuti kod da se ne može kontrolirati. 484 00:23:44,060 --> 00:23:49,560 Uzmimo primjer za to lijepi niz ovdje. 485 00:23:49,560 --> 00:23:55,570 Ako idemo u web stranicu opet, ja sam ide na izlet kod injekcije. 486 00:23:55,570 --> 00:23:58,910 Dakle, što to čini se - 487 00:23:58,910 --> 00:24:00,420 to je također ono što smo bili gleda na prije. 488 00:24:00,420 --> 00:24:11,200 Puštamo korisniku staviti u bilo on želi, a to će se ispisati 489 00:24:11,200 --> 00:24:12,220 što god želite. 490 00:24:12,220 --> 00:24:13,890 >> Zato ću staviti poziv. 491 00:24:13,890 --> 00:24:15,540 Što to znači - 492 00:24:15,540 --> 00:24:16,940 počet će nadovezivanjem. 493 00:24:16,940 --> 00:24:19,520 Tako da će me pustiti pokrenuti bez obzira na Naredbe osobe 494 00:24:19,520 --> 00:24:21,500 prije i moje naredbe. 495 00:24:21,500 --> 00:24:23,980 I ja sam trčanje naredbu sustava. 496 00:24:23,980 --> 00:24:27,310 I ova zadnja žica - sjetite ono što sam razgovarao s vama o tome, 497 00:24:27,310 --> 00:24:31,725 dok imate za kodiranje da u postupku URL. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Ako sam pokrenuti ovaj sada - 500 00:24:36,992 --> 00:24:39,150 Pokazat ću vam ovamo - 501 00:24:39,150 --> 00:24:41,100 vidjet ćete da sam završio se izvodi naredbu. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> To je zapravo stvarna poslužitelja da je moja web stranica se izvodi. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Dakle, mi ne želimo da se, jer ja mogu pokrenuti - 506 00:24:58,510 --> 00:25:00,320 ovaj server nije moj. 507 00:25:00,320 --> 00:25:04,030 Dakle, ja ne želim zabrljati njegov sestra, Marcus poslužitelja. 508 00:25:04,030 --> 00:25:07,470 No, možete pokrenuti više naredbi da su opasni. 509 00:25:07,470 --> 00:25:11,885 I potencijalno, mogli izbrisati datoteke, ukloniti imenike. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Ja mogu ukloniti određene imenik ukoliko Htjela sam, ali ne želim 512 00:25:17,970 --> 00:25:19,530 to učiniti Marcusu. 513 00:25:19,530 --> 00:25:20,420 On je dobar dečko. 514 00:25:20,420 --> 00:25:21,470 On neka mi posuditi svoj server. 515 00:25:21,470 --> 00:25:24,620 Zato ću ga pustiti off na dobra. 516 00:25:24,620 --> 00:25:32,280 >> Dakle, ono što ne želite koristiti - ne znamo želite koristiti eval ili sustava. 517 00:25:32,280 --> 00:25:34,755 Vrednuje ili sustav omogućuje nam da bi ove sustav poziva. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Procjenu njem znači. 520 00:25:38,410 --> 00:25:40,790 Sustav znači ono što sam trčao. 521 00:25:40,790 --> 00:25:42,490 To je pokrenuti nešto u sustavu. 522 00:25:42,490 --> 00:25:46,730 Ali možemo odmetnik te stvari u PHP, tako da ih ne koristite. 523 00:25:46,730 --> 00:25:47,400 I upload datoteka. 524 00:25:47,400 --> 00:25:49,180 Htjela sam napraviti strašan Stvar s upload datoteka. 525 00:25:49,180 --> 00:25:52,740 No, kao što sam ti rekao dečki, moj dosje upload stvar ne radi. 526 00:25:52,740 --> 00:25:54,590 Ako mi je da uploadate upravo sada - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 ako su i da uploadate, i to je slika - 529 00:26:00,830 --> 00:26:03,180 imate upload stvar to je slika. 530 00:26:03,180 --> 00:26:03,660 To je u redu. 531 00:26:03,660 --> 00:26:04,280 Ništa se ne događa. 532 00:26:04,280 --> 00:26:10,840 >> Ali, ako imate prijenos datoteka, za Primjerice, i korisnik zapravo slike 533 00:26:10,840 --> 00:26:19,220 PHP datoteka ili EXE datoteku ili nešto kao što je to, onda ste mogli potencijalno 534 00:26:19,220 --> 00:26:19,740 imate problem. 535 00:26:19,740 --> 00:26:21,390 To je radio prije. 536 00:26:21,390 --> 00:26:25,202 Nažalost, za mene, to je Ne radi više. 537 00:26:25,202 --> 00:26:30,230 Ako sam, primjerice, postavite ju, ja sam ne dobiva dozvolu za prijenos 538 00:26:30,230 --> 00:26:33,400 file s obzirom na poslužitelju nije bilo moje. 539 00:26:33,400 --> 00:26:38,670 Dakle, čovjek je stvarno pametna. 540 00:26:38,670 --> 00:26:39,610 >> Dakle, mi ne želimo - 541 00:26:39,610 --> 00:26:40,130 Ja ću vam pokazati dečki - 542 00:26:40,130 --> 00:26:41,840 OK, to su neke stvarno cool alate. 543 00:26:41,840 --> 00:26:45,100 Tako su ti - 544 00:26:45,100 --> 00:26:47,715 ići u - ako vi imate Firefox - nadamo se da napraviti. 545 00:26:47,715 --> 00:26:54,260 Ima dvije dodaci nazivaju SQL ubrizgati Ja i Cross-Site Script Me. 546 00:26:54,260 --> 00:26:56,870 Oni otvaraju kao malo stranu barovi na strani. 547 00:26:56,870 --> 00:27:01,480 I ako bih ići na CS60 primjerice - 548 00:27:01,480 --> 00:27:04,210 pa što je to ipak izgleda za sve oblike koji - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 nadam se, neću dobiti u nevolji za to. 551 00:27:08,760 --> 00:27:09,190 >> Ali u redu. 552 00:27:09,190 --> 00:27:12,600 Evo pin sustav. 553 00:27:12,600 --> 00:27:18,946 Dakle, kada sam početi u potrazi za rupama u Sustav, prva stvar koju sam učiniti je 554 00:27:18,946 --> 00:27:21,820 otvoriti ovaj prekrasan mali alat na strani. 555 00:27:21,820 --> 00:27:24,160 I ja ću testirati oblike s auto napada. 556 00:27:24,160 --> 00:27:28,510 I tako što to čini se da će se polako otvaraju hrpu preglednicima. 557 00:27:28,510 --> 00:27:29,930 Evo hrpa preglednicima. 558 00:27:29,930 --> 00:27:33,320 I to pokušava svaku kombinaciju cross-Site Scripting 559 00:27:33,320 --> 00:27:37,380 da je po mogućnosti, ako vidiš na strani. 560 00:27:37,380 --> 00:27:42,080 >> I to će mi dati rezultat onakav kakav je odgovor. 561 00:27:42,080 --> 00:27:42,860 Sve prođe. 562 00:27:42,860 --> 00:27:43,910 Očito, svi oni prolaze. 563 00:27:43,910 --> 00:27:46,190 Mislim, oni su jako pametni ljudi tamo gore. 564 00:27:46,190 --> 00:27:48,010 No, kada bih pokrenuti - 565 00:27:48,010 --> 00:27:52,050 Ja sam imao prije puta kad sam pokrenuti ovaj Na završnoj studentske projekte. 566 00:27:52,050 --> 00:27:56,080 Ja jednostavno pokrenuti SQL ubrizgati me s sve različite napade. 567 00:27:56,080 --> 00:28:00,080 I to pokušava SQL uvelo ovaj pin poslužitelja. 568 00:28:00,080 --> 00:28:03,590 Dakle, ako mi se pomaknite prema dolje, za Na primjer, on kaže - 569 00:28:03,590 --> 00:28:04,960 to je dobro, ako se ne vrati. 570 00:28:04,960 --> 00:28:08,250 >> Tako da testira neke određene vrijednosti. 571 00:28:08,250 --> 00:28:11,170 I poslužitelj je vratio kod koji je bio negativan. 572 00:28:11,170 --> 00:28:11,780 Uklonite privremeno. 573 00:28:11,780 --> 00:28:13,030 To je dobro. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Ona pokušava sve te testove. 576 00:28:20,750 --> 00:28:21,790 Tako da je jednostavno mogao pokrenuti - 577 00:28:21,790 --> 00:28:27,860 Volio bih da mogu pronaći web pravi brzo da bi me pustili - 578 00:28:27,860 --> 00:28:29,110 Možda CS50 trgovine. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Wow, ovo će uzeti put predug. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Ja ću prvi test ne završi dobro. 583 00:28:55,130 --> 00:28:57,330 Dakle, to je karton. 584 00:28:57,330 --> 00:28:58,470 Dakle, to su tri stvari. 585 00:28:58,470 --> 00:29:00,430 Ovi alati su besplatni. 586 00:29:00,430 --> 00:29:03,960 Možete ih preuzeti i pokrenuti ih na Vaše web stranice, a to će vam reći ako 587 00:29:03,960 --> 00:29:06,650 imate Cross-Site Scripting, ako imate SQL, ako imate 588 00:29:06,650 --> 00:29:07,900 nešto slično. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Ja sam nekako zabrljati gore. 591 00:29:14,500 --> 00:29:15,550 >> Ono što je važno - 592 00:29:15,550 --> 00:29:17,900 U redu, tako da nikad ne vjeruj korisniku. 593 00:29:17,900 --> 00:29:21,920 Što god se korisnik ulazi s vama, učinit jeste li ga dezinficirati, što ga očistiti, 594 00:29:21,920 --> 00:29:25,300 provjerite za prave stvari, da ti daje ono što vam je 595 00:29:25,300 --> 00:29:28,240 želim da ti daju. 596 00:29:28,240 --> 00:29:32,460 Uvijek se ažurirati na ono okviri da ste zapravo koriste. 597 00:29:32,460 --> 00:29:34,630 Ako koristite nešto poput bootstrap - 598 00:29:34,630 --> 00:29:36,340 Znam da dečki idu za korištenje početno dizanje, jer on će otići 599 00:29:36,340 --> 00:29:38,140 preko toga uskoro u razredu - 600 00:29:38,140 --> 00:29:43,120 i Wordpress ili nešto slično, inače bi to moglo biti sjeckan. 601 00:29:43,120 --> 00:29:44,770 >> A onda ne znam. 602 00:29:44,770 --> 00:29:45,800 Vi ste samo trčanje vaše web stranice. 603 00:29:45,800 --> 00:29:47,360 I to je potpuno siguran. 604 00:29:47,360 --> 00:29:51,730 A ti ići dolje. 605 00:29:51,730 --> 00:29:54,000 Pa ja sam u ribolov stvarno rano. 606 00:29:54,000 --> 00:29:55,770 No, želim zahvaliti Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Ja ću vam pokazati dečki nešto zove Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Ako ti dečki su stvarno zainteresirani za ono sigurnost stvarno je, tu je 609 00:30:05,000 --> 00:30:07,300 web stranica pod nazivom Pentest Labs, ako ti dečki idu na njega upravo sada. 610 00:30:07,300 --> 00:30:10,730 Oh, dobro, nije to to. 611 00:30:10,730 --> 00:30:12,030 Samo ću to raditi ovako. 612 00:30:12,030 --> 00:30:14,400 Google mi kaže odgovor. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 I to uči koristiti vas - tako da kaže, naučili web prodor 615 00:30:19,030 --> 00:30:21,060 testiranje na pravi način. 616 00:30:21,060 --> 00:30:23,650 To vas uči - 617 00:30:23,650 --> 00:30:25,150 nadam se, da ste etički osoba. 618 00:30:25,150 --> 00:30:29,200 No, to vas uči kako možete pogledati Kako možete dobiti unutar web stranice. 619 00:30:29,200 --> 00:30:31,130 A ako vas naučiti kako možete dobiti unutar web stranice, možete naučiti kako 620 00:30:31,130 --> 00:30:34,960 zaštitili sebe od dobivanja unutar web stranice. 621 00:30:34,960 --> 00:30:39,100 Dopustite mi da povećavanje, jer možda ti dečki se ne gleda na to pravo. 622 00:30:39,100 --> 00:30:46,350 >> Od SQL injection shell, pa nekako kako ja mogu dobiti iz SQL 623 00:30:46,350 --> 00:30:48,530 ubrizgavanja shell. 624 00:30:48,530 --> 00:30:53,890 I preuzeti li ovaj virtualni stroj. 625 00:30:53,890 --> 00:30:55,690 I virtualni stroj već dolazi s web stranice koje ste 626 00:30:55,690 --> 00:30:56,780 ide to probati. 627 00:30:56,780 --> 00:30:58,030 Možete preuzeti ovaj PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 A to će vam pokazati redak po redak ono što morate učiniti, ono što provjeriti. 630 00:31:08,370 --> 00:31:14,560 To je ono što zapravo Napadač ne da se unutar web stranice. 631 00:31:14,560 --> 00:31:15,750 >> A neke od tih stvari je komplicirano. 632 00:31:15,750 --> 00:31:17,520 Volio bih da mogu ići preko više stvari s vama. 633 00:31:17,520 --> 00:31:21,090 Ali sam brinuti da ti dečki nisu stvarno - 634 00:31:21,090 --> 00:31:23,090 to je ono što sam otišao s ti dečki, web testovi 635 00:31:23,090 --> 00:31:26,830 za ispitivanje penetracije. 636 00:31:26,830 --> 00:31:33,540 Stvarno ne znam što SQL je i što - 637 00:31:33,540 --> 00:31:35,960 Carl Jackson je seminar je strašan kao dobro. 638 00:31:35,960 --> 00:31:37,360 Vi dečki ne znaju vrsta o čemu se ovdje radi. 639 00:31:37,360 --> 00:31:39,450 Ali ako idete na ovoj web stranici, a vi skinuti ove tutoriale i to 640 00:31:39,450 --> 00:31:43,290 PDF, možete pogledati kakve ono područje sigurnosti uistinu 641 00:31:43,290 --> 00:31:46,940 u penetracije, vidjeti koliko možete dobiti unutar web stranice i zaštititi 642 00:31:46,940 --> 00:31:48,020 se od njega. 643 00:31:48,020 --> 00:31:56,360 >> Dakle, ako sam napraviti super brzi pregled, to će se spriječiti Cross-Site Scripting. 644 00:31:56,360 --> 00:32:00,160 Želite htmlspecialchars koristiti svaki kada korisnik ulaza nešto. 645 00:32:00,160 --> 00:32:01,580 Spriječiti SQL injection. 646 00:32:01,580 --> 00:32:04,510 Ako to učinite, vi ste već bolje nego Harvard je 647 00:32:04,510 --> 00:32:06,530 kad su se probio. 648 00:32:06,530 --> 00:32:10,510 I bi li vaše lozinke nisu u običan tekst. 649 00:32:10,510 --> 00:32:16,220 Pobrinite se da to nije samo jedan od načina mljeveno meso ih, ali da koristite kriptu, PHP 650 00:32:16,220 --> 00:32:18,670 funkcija koja Pokazala sam ti dečki. 651 00:32:18,670 --> 00:32:20,060 Na taj način, što bi trebalo biti dobro. 652 00:32:20,060 --> 00:32:25,830 >> Isto tako, ako se vaši prijatelji vam, trčanje SQL me ubrizgati na svojim web stranicama. 653 00:32:25,830 --> 00:32:28,140 Trčanje cross-site scripting na svojim web stranicama. 654 00:32:28,140 --> 00:32:33,720 I vidjet ćete puno ovih web stranica imaju tonu ranjivosti. 655 00:32:33,720 --> 00:32:40,400 To je nevjerojatno koliko ljudi zaboravljaju dezinficirati svoje baze podataka ili napraviti 656 00:32:40,400 --> 00:32:46,340 sigurni što unosom osobe Nije script code. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Nekako sam završio jako rano. 659 00:32:49,182 --> 00:32:56,510 Ali, ako bilo tko ima bilo kakvih pitanja o ništa, možete me ubiti pitanje. 660 00:32:56,510 --> 00:32:56,630 Da. 661 00:32:56,630 --> 00:32:56,970 Idite, idite. 662 00:32:56,970 --> 00:32:59,846 >> PUBLIKA: Samo želim pitati, Možete li nam objasniti kako datoteku 663 00:32:59,846 --> 00:33:03,160 upload točno radi. 664 00:33:03,160 --> 00:33:03,480 >> LUCIANO Arango: Da. 665 00:33:03,480 --> 00:33:06,350 Pa neka mi vam pokazati datoteku upload vrlo brzo. 666 00:33:06,350 --> 00:33:11,300 Dakle upload datoteka - 667 00:33:11,300 --> 00:33:14,500 Problem pamet prijenos datoteka sada je to - 668 00:33:14,500 --> 00:33:18,541 Idem otvoriti kod tako da dečki vidi kod iza kulisa. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 I to je upload. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Evo broj za učitavač. 673 00:33:31,560 --> 00:33:33,980 >> Pokušavamo ići u ovu katalog ovamo. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 I mi pokušavamo, nakon što unosimo file, isset file - pa kad je 676 00:33:44,880 --> 00:33:50,900 podnijeti u datotekama, te slike, a zatim nastojimo ga premjestiti ovdje. 677 00:33:50,900 --> 00:33:51,910 Mi zgrabite datoteku ovamo. 678 00:33:51,910 --> 00:33:58,350 Metoda POST, tipa, slika, datoteka. 679 00:33:58,350 --> 00:33:59,630 I šaljemo ovu sliku. 680 00:33:59,630 --> 00:34:03,910 I onda kad smo ga dobili, tako da jednom sliku ima sliku, pokušavamo ga poslati 681 00:34:03,910 --> 00:34:05,060 za ovaj direktorij. 682 00:34:05,060 --> 00:34:09,814 >> Problem je u tome što web stranice nije ostavljajući me u ovaj direktorij, 683 00:34:09,814 --> 00:34:12,239 jer ne želim da se vratim. 684 00:34:12,239 --> 00:34:13,489 To me ne želi ići - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Moram ići - pa evo upload. 687 00:34:17,070 --> 00:34:17,639 Evo slike. 688 00:34:17,639 --> 00:34:21,780 Moram ići, pa sve do na početku i staviti ga u njemu, a zatim 689 00:34:21,780 --> 00:34:23,820 idi i stavi ga u telefonskom imeniku. 690 00:34:23,820 --> 00:34:30,000 Dakle, ako sam bio pokrenut prozor terminala, i ja sam htjela da se premjestiti datoteku - 691 00:34:30,000 --> 00:34:30,409 [Nečujan] 692 00:34:30,409 --> 00:34:32,159 Možete ga vidjeti. 693 00:34:32,159 --> 00:34:37,940 Ako sam htjela premjestiti datoteku, imam staviti naziv datoteke, a zatim 694 00:34:37,940 --> 00:34:40,860 potpuni put želim ga poslati. 695 00:34:40,860 --> 00:34:45,110 >> I onda poslužitelja nije ostavljajući me da se vratim. 696 00:34:45,110 --> 00:34:46,929 I tako to ne ostavljajući ja bi na tu datoteku. 697 00:34:46,929 --> 00:34:47,670 No, u pravilu - 698 00:34:47,670 --> 00:34:49,360 tako da je kod za učitali datoteku. 699 00:34:49,360 --> 00:34:52,260 Pa normalno ono što će se dogoditi je da Osoba ne provjere je li moj file 700 00:34:52,260 --> 00:34:57,920 završava. jpeg, pa sam bi željeli provjeriti. 701 00:34:57,920 --> 00:35:00,054 Dopustite mi da otvorite primjer previše jako brzi. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Ta je osoba u pravu - 705 00:35:09,230 --> 00:35:11,980 pa primjer dva provjerava ako preg_match - 706 00:35:11,980 --> 00:35:14,180 Ovdje je ovdje - 707 00:35:14,180 --> 00:35:19,660 kako bi bili sigurni da završava PHP, što je dobro. 708 00:35:19,660 --> 00:35:20,580 To je dobro. 709 00:35:20,580 --> 00:35:22,820 No, tu je pravi veliki Problem s ovim. 710 00:35:22,820 --> 00:35:24,600 To je dobro. 711 00:35:24,600 --> 00:35:44,190 No, kada bih staviti sliku pod nazivom myfavoritepicture.php.jpeg, mogao bih 712 00:35:44,190 --> 00:35:50,060 još uvijek potencijalno riješiti jpeg i pokrenuti it.k To PHP je opasno. 713 00:35:50,060 --> 00:35:53,850 Vi ne želite da osoba bude u mogućnosti pokrenuti kod na svoju web stranicu. 714 00:35:53,850 --> 00:35:55,750 >> Ali onda. Jpeg omogućuje da prođe. 715 00:35:55,750 --> 00:36:00,720 Ideja je ono što stvarno želite raditi ne uzeti datoteke, A. No, u redu, što se 716 00:36:00,720 --> 00:36:07,500 vi stvarno želite učiniti je da provjerite da čitaš po cijelom svijetu. 717 00:36:07,500 --> 00:36:08,720 I nema ništa. PHP u njega. 718 00:36:08,720 --> 00:36:10,500 Nema. Php u cijeli naziv datoteke. 719 00:36:10,500 --> 00:36:12,780 >> PUBLIKA: Ali vi mogli stavi. jpeg na kraju. 720 00:36:12,780 --> 00:36:15,830 Poslužitelji dalje izvoditi kod. 721 00:36:15,830 --> 00:36:16,870 >> LUCIANO Arango: Ne, to neće izvoditi na početku. 722 00:36:16,870 --> 00:36:22,310 Morate se vratiti i pokušati vidjeti ako možete - 723 00:36:22,310 --> 00:36:24,210 >> Ivanković: Pa moramo - 724 00:36:24,210 --> 00:36:26,020 OK, samo još jedan set koji uključuje - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANO Arango: Da. 726 00:36:26,936 --> 00:36:29,230 >> Ivanković: U redu. 727 00:36:29,230 --> 00:36:31,486 >> LUCIANO Arango: Da. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Bilo koja druga pitanja? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Ja ću ostaviti ovo gore i sortiranje od pokušati vidjeti ako dečki mogu - 732 00:36:37,350 --> 00:36:40,490 one druge su malo više komplicirano, jer oni zahtijevaju puno 733 00:36:40,490 --> 00:36:44,050 više poznavanje SQL nego samo s početkom poznavanje web SQL je i 734 00:36:44,050 --> 00:36:47,010 ono JavaScript je. 735 00:36:47,010 --> 00:36:49,730 Ali ja ću pokušati zadržati ovu gore, i nadamo se da će dečki naučili 736 00:36:49,730 --> 00:36:53,230 o tome i pokušati zaviriti u što možete učiniti i koliko primjeri 737 00:36:53,230 --> 00:36:54,420 možete dobiti putem. 738 00:36:54,420 --> 00:36:56,020 >> Bilo tko imati bilo koji drugi Pitanja o tome? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Samo naprijed. 741 00:37:00,350 --> 00:37:01,170 Da, pucati, pucati. 742 00:37:01,170 --> 00:37:01,580 Da, ići naprijed. 743 00:37:01,580 --> 00:37:01,850 Samo naprijed. 744 00:37:01,850 --> 00:37:02,310 >> Ivanković: U redu. 745 00:37:02,310 --> 00:37:08,870 Tako sam čuo o tome Magic Izreke se ne osigura dovoljno. 746 00:37:08,870 --> 00:37:09,280 >> LUCIANO Arango: Koja - 747 00:37:09,280 --> 00:37:10,110 Magic citati? 748 00:37:10,110 --> 00:37:10,595 >> Publika: Da. 749 00:37:10,595 --> 00:37:15,445 Dakle dodaje - pa kad god ulaz nešto, to se uvijek dodaje citati. 750 00:37:15,445 --> 00:37:15,930 >> LUCIANO Arango: Da. 751 00:37:15,930 --> 00:37:16,000 Da. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> Ivanković: I onda sam ipak da je radio, ali onda sam ga tražili gore. 754 00:37:19,113 --> 00:37:21,648 A on je rekao da nije dobro. 755 00:37:21,648 --> 00:37:23,050 Ali nisam siguran zašto. 756 00:37:23,050 --> 00:37:23,360 >> LUCIANO Arango: Da. 757 00:37:23,360 --> 00:37:26,240 >> Ivanković: Ne koristite Magic citati, jer to nije sigurno. 758 00:37:26,240 --> 00:37:26,360 >> LUCIANO Arango: OK. 759 00:37:26,360 --> 00:37:31,735 Dakle Magic Quotes je prilikom umetanja SQL i to već dodaje ponudu za vas. 760 00:37:31,735 --> 00:37:33,520 >> PUBLIKA: On uvijek dodaje citati oko toga što ste stavili u. 761 00:37:33,520 --> 00:37:34,210 >> LUCIANO Arango: Da. 762 00:37:34,210 --> 00:37:37,190 Dakle, problem s tim je da - 763 00:37:37,190 --> 00:37:38,445 Ja ću pogledati - 764 00:37:38,445 --> 00:37:41,390 >> PUBLIKA: Kakav je to stjecanje SQL? 765 00:37:41,390 --> 00:37:44,690 Ili valjda bi to moglo biti kao citat odabir. 766 00:37:44,690 --> 00:37:49,030 >> LUCIANO Arango: Da, trebate dobri citati za SQL. 767 00:37:49,030 --> 00:37:52,900 >> Ivanković: Ne, ali poslužitelj to radi za vas. 768 00:37:52,900 --> 00:37:54,460 >> LUCIANO Arango: Ove male citati upravo ovdje, ovi mali citati? 769 00:37:54,460 --> 00:37:55,670 >> Publika: Da. 770 00:37:55,670 --> 00:37:56,450 >> LUCIANO Arango: Da. 771 00:37:56,450 --> 00:37:59,860 Problem je u tome što možete komentirati se posljednja - 772 00:37:59,860 --> 00:38:05,770 U redu, tako da ono što mogu učiniti jest da mogu komentirati out - pa neka je pogledati - neka mi 773 00:38:05,770 --> 00:38:07,920 otvoriti text edit datoteku. 774 00:38:07,920 --> 00:38:09,610 Dopustite mi samo urediti ovo ovdje izravno. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Može li vidjeli jasno? 778 00:38:23,710 --> 00:38:29,730 Ono što mogu učiniti je da mogu komentirati iz posljednjeg. 779 00:38:29,730 --> 00:38:32,190 To će komentirati iz posljednjeg. 780 00:38:32,190 --> 00:38:36,760 I onda ću staviti jednu ovdje, stavio sve zlonamjerne stvari ovdje. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Dakle, korisnik je zapravo unosa, zar ne? 783 00:38:42,630 --> 00:38:45,230 Korisnik ne unos stvari, zar ne? 784 00:38:45,230 --> 00:38:47,430 To je ono što ću ulaz kao osoba pokušava ući. 785 00:38:47,430 --> 00:38:49,430 Ja ću staviti u - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 to je jedan navodni znak. 788 00:39:00,180 --> 00:39:01,760 To je samo iskrivljena pogreškom. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 I što se onda kod je učiniti - 791 00:39:19,400 --> 00:39:20,190 Oprosti, ja ću uzeti ovo. 792 00:39:20,190 --> 00:39:22,170 Ono što je kod učiniti je to će dodati prva 793 00:39:22,170 --> 00:39:24,030 Navodnici ovdje. 794 00:39:24,030 --> 00:39:26,040 I to će dodati posljednja navodnik kao dobro. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> I to je također će dodati Posljednji, posljednja navodnika. 797 00:39:33,270 --> 00:39:37,380 Ali ja sam komentirajući ove citat obilježava se, tako da se ne odvijaju. 798 00:39:37,380 --> 00:39:41,440 I ja sam položenog citat obilježiti ovamo. 799 00:39:41,440 --> 00:39:42,290 Razumijete li? 800 00:39:42,290 --> 00:39:43,750 Jeste li se izgubili? 801 00:39:43,750 --> 00:39:45,880 Ja mogu komentirati posljednju ponudu Mark, i brinuti se o 802 00:39:45,880 --> 00:39:46,680 Prvi znak citat. 803 00:39:46,680 --> 00:39:47,350 >> Ivanković: I samo završiti prvi. 804 00:39:47,350 --> 00:39:47,480 >> LUCIANO Arango: Da. 805 00:39:47,480 --> 00:39:48,400 I samo završiti prvi. 806 00:39:48,400 --> 00:39:48,790 Da, to je točno. 807 00:39:48,790 --> 00:39:50,800 To je ono što ja mogu učiniti. 808 00:39:50,800 --> 00:39:51,890 Da. 809 00:39:51,890 --> 00:39:52,980 Bilo koja druga pitanja kao što je to? 810 00:39:52,980 --> 00:39:54,230 To je veliko pitanje. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 No, da, možda. 813 00:39:59,790 --> 00:40:06,150 Nadam se, da će dečki napraviti svojevrsni više smisla kada studija SQL i 814 00:40:06,150 --> 00:40:06,650 takve stvari. 815 00:40:06,650 --> 00:40:07,980 No, budite sigurni da - 816 00:40:07,980 --> 00:40:10,340 držati tih alata u sat. 817 00:40:10,340 --> 00:40:12,760 Nažalost, ovi alati ovamo. 818 00:40:12,760 --> 00:40:14,200 Ovi alati su super. 819 00:40:14,200 --> 00:40:17,190 Ako itko ima bilo kakvih pitanja, možete mi e-mail. 820 00:40:17,190 --> 00:40:19,020 Ovo je moj e-mail normalno. 821 00:40:19,020 --> 00:40:25,015 I ovo je moj rad e, koji je kad sam raditi na moru. 822 00:40:25,015 --> 00:40:26,040 >> U redu, hvala. 823 00:40:26,040 --> 00:40:26,740 Hvala, dečki. 824 00:40:26,740 --> 00:40:27,860 Vi ste dobro ide. 825 00:40:27,860 --> 00:40:28,830 Ne moraš ostati ovdje. 826 00:40:28,830 --> 00:40:29,570 Ne pozdravilo. 827 00:40:29,570 --> 00:40:30,170 To je malo čudno. 828 00:40:30,170 --> 00:40:31,420 OK, hvala, dečki. 829 00:40:31,420 --> 00:40:32,320