1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANO Arango: OK, srácok. 3 00:00:10,300 --> 00:00:11,550 A nevem Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Vagyok másodéves Adams House. 5 00:00:13,915 --> 00:00:17,550 És fogunk beszélni web biztonság aktív védelem. 6 00:00:17,550 --> 00:00:24,220 Szóval dolgozom az Információs Hivatal Biztonság a tengeren. 7 00:00:24,220 --> 00:00:28,670 És a nyár, azt internálták SeguraTec, ami egy információs 8 00:00:28,670 --> 00:00:31,310 biztonsági cég, amely arra szolgált A Bank of Columbia. 9 00:00:31,310 --> 00:00:34,740 Ez az, főleg, amikor megtudtam amit tanultam eddig. 10 00:00:34,740 --> 00:00:37,990 >> És így az anyag egy része, hogy mi vagyunk megyek át ma, mi nem 11 00:00:37,990 --> 00:00:39,670 tényleg beszélt az osztályban. 12 00:00:39,670 --> 00:00:40,410 De hamarosan. 13 00:00:40,410 --> 00:00:42,360 Ez olyan lesz, mint az SQL, a JavaScript. 14 00:00:42,360 --> 00:00:44,870 És akkor még nem igazán ment rajta. 15 00:00:44,870 --> 00:00:47,730 Szóval lehet rendezni a repülés át, és lehet, hogy nem tudja, néhány dolgot. 16 00:00:47,730 --> 00:00:48,890 De hamarosan, akkor tanulni. 17 00:00:48,890 --> 00:00:52,080 És ez lesz minden értelme. 18 00:00:52,080 --> 00:00:54,010 Még egy dolog - 19 00:00:54,010 --> 00:00:55,780 maradj etikus. 20 00:00:55,780 --> 00:01:00,560 Néhány dolog, amit tanulni, akkor jönne a nem etikus módon. 21 00:01:00,560 --> 00:01:01,950 >> Ha ez a tiéd, feltétlenül próbáld. 22 00:01:01,950 --> 00:01:04,500 Határozottan motivál titeket kipróbálni a saját szerverek, próbálja 23 00:01:04,500 --> 00:01:05,519 majd bennük. 24 00:01:05,519 --> 00:01:08,500 Nézd meg, hogy képes behatolni őket, ha lehet kapni bennük. 25 00:01:08,500 --> 00:01:09,560 De bárki másé. 26 00:01:09,560 --> 00:01:12,390 A zsaruk nem igazán szeretem a vicceket és a Az egész, tesszük ezt itt. 27 00:01:12,390 --> 00:01:14,040 Voltunk szórakozni. 28 00:01:14,040 --> 00:01:15,780 Kapnak igazán dühös. 29 00:01:15,780 --> 00:01:18,700 >> Tehát feje fölött ezen a weboldalon. 30 00:01:18,700 --> 00:01:23,560 Megvan nyitott itt. 31 00:01:23,560 --> 00:01:26,780 Ez egy olyan honlap, és van egy csomó példát. 32 00:01:26,780 --> 00:01:30,000 Mi történik az, hogy az első példa a fajta lesz sokkal könnyebb 33 00:01:30,000 --> 00:01:33,470 mint a legutóbbi példa bizonyos értelemben hogy az első példa 34 00:01:33,470 --> 00:01:34,970 teljesen bizonytalan. 35 00:01:34,970 --> 00:01:40,850 És az utolsó a fajta, amit a normál webes biztonsági ember tenne. 36 00:01:40,850 --> 00:01:42,760 De akkor is sort A kap körül, hogy. 37 00:01:42,760 --> 00:01:44,860 És fogunk összpontosítva egy és két, egy és két példát. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Kezdjük a cross-site scripting. 41 00:01:52,780 --> 00:01:56,100 A JavaScript nem fut az ügyfél böngészőt. 42 00:01:56,100 --> 00:01:59,980 Ez egy programozási nyelv, amit használ hogy fut a kliens böngészőjének, 43 00:01:59,980 --> 00:02:04,120 nem kell frissíteni a honlapon és menj vissza a szerver. 44 00:02:04,120 --> 00:02:04,940 Van ez futás. 45 00:02:04,940 --> 00:02:08,870 Így például a Facebook, akkor nem kell hogy újra a honlapon új állapot 46 00:02:08,870 --> 00:02:09,710 frissítések, hogy jöjjön fel. 47 00:02:09,710 --> 00:02:12,170 Ez JavaScript segítségével generál ezeket a dolgokat. 48 00:02:12,170 --> 00:02:16,290 Így tudjuk beadni a rosszindulatú JavaScript a weboldalak. 49 00:02:16,290 --> 00:02:20,890 És így, ha küldünk egy linket valaki, mi is egyfajta küldje el 50 00:02:20,890 --> 00:02:23,050 Néhány a kód, amit akarunk. 51 00:02:23,050 --> 00:02:26,450 >> Van tartós és nem tartós JavaScript - 52 00:02:26,450 --> 00:02:30,640 tartós és nem tartós cross-site scripting, úgy értem. 53 00:02:30,640 --> 00:02:33,760 És azzal a különbséggel, hogy a tartós a JavaScript, hogy lesz 54 00:02:33,760 --> 00:02:36,060 mentett a honlapon. 55 00:02:36,060 --> 00:02:39,780 És nem állandó lesz JavaScript hogy valójában csak egyszer történik. 56 00:02:39,780 --> 00:02:41,795 Tehát nézzük meg egy példát gyorsan. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Tehát ezen a honlapon, az egyszerű, semmi sem történik itt. 60 00:02:51,620 --> 00:02:53,070 És meg fogjuk próbálni, hogy beszúrni egy JavaScript. 61 00:02:53,070 --> 00:02:58,110 Így, ahogy mi elkezdjük írni JavaScript A kezdjük az elején script. 62 00:02:58,110 --> 00:03:00,570 És mi zárja be a script. 63 00:03:00,570 --> 00:03:03,770 Mi csak megy, hogy egy üzenet - 64 00:03:03,770 --> 00:03:05,410 Megmutatom - 65 00:03:05,410 --> 00:03:06,500 éber. 66 00:03:06,500 --> 00:03:11,150 Alert egy olyan funkció, hogy a JavaScript megjelenítéséhez használ valamit. 67 00:03:11,150 --> 00:03:12,400 Így próbáljuk meg gyorsan. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Én megyek, éber helló. 70 00:03:18,944 --> 00:03:20,400 Nos, elfelejtettem, hogy - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Szóval ez egyszerű. 74 00:03:26,540 --> 00:03:28,730 >> Azt hogy a JavaScript a honlapon, és ez jött ki. 75 00:03:28,730 --> 00:03:31,200 És ez a fajta csak akkor történik honlapunkon, igaz? 76 00:03:31,200 --> 00:03:33,040 Így úgy tűnik, mintha ez nem a probléma, nem igaz? 77 00:03:33,040 --> 00:03:34,920 Úgy értem, hogyan is használja ezt rosszindulatúan? 78 00:03:34,920 --> 00:03:39,930 Így az is, hogy a hackerek csinálni Ez nagyon egyszerű. 79 00:03:39,930 --> 00:03:40,970 Mennek, hogy fogd meg. 80 00:03:40,970 --> 00:03:43,750 Tudják ezt a linket küldd Önnek. 81 00:03:43,750 --> 00:03:46,780 Ha küldöm ezt a linket, hogy most, és nyisd ki, ez lesz a 82 00:03:46,780 --> 00:03:51,620 azt mondják, hello, mondván, hogy a honlapomon azt mondja, helló. 83 00:03:51,620 --> 00:03:57,280 >> És ha én valamit mondani a kicsit okosabb, ha húzza fel a 84 00:03:57,280 --> 00:03:59,880 JavaScript függvényt Valahogy már írtam - 85 00:03:59,880 --> 00:04:03,940 de ha megnézzük, én megyek rajta, mielőtt írtam. 86 00:04:03,940 --> 00:04:06,650 Így megyünk be a timeout. 87 00:04:06,650 --> 00:04:08,450 Fogunk várni pár másodpercig. 88 00:04:08,450 --> 00:04:13,970 Sőt, mi fogunk várni, ha Nem tévedek, öt másodperc. 89 00:04:13,970 --> 00:04:15,870 Ez megy ezredmásodperc. 90 00:04:15,870 --> 00:04:18,640 És akkor mit fogunk csinálni is vagyunk majd figyelmezteti, hogy a bejelentkezési 91 00:04:18,640 --> 00:04:21,459 időtúllépés bejelentkezni újra be 92 00:04:21,459 --> 00:04:23,990 És meg fogjuk változtatni a helyét egy másik helyre. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Tehát ha küldök ezen a honlapon, hogy valakinek, ők lesznek 95 00:04:32,970 --> 00:04:34,380 nézelődni, nyugodt. 96 00:04:34,380 --> 00:04:35,650 Nem történik semmi. 97 00:04:35,650 --> 00:04:38,550 És öt másodpercig, hogy megy mondani, hogy a bejelentkezési időtúllépés. 98 00:04:38,550 --> 00:04:40,200 Kérjük jelentkezzen be, vissza! 99 00:04:40,200 --> 00:04:43,400 Miután az OK gombra, megyek vigye egy másik weboldalon. 100 00:04:43,400 --> 00:04:45,980 Feltételezhető, hogy a honlap fog hasonló a honlapon, hogy 101 00:04:45,980 --> 00:04:47,280 voltak korábban. 102 00:04:47,280 --> 00:04:50,770 És ők fognak bejelentkezni a hitelesítő az én honlapján, hanem 103 00:04:50,770 --> 00:04:51,850 a honlapjukon. 104 00:04:51,850 --> 00:04:54,780 >> És így tudok küldeni az embereket egy e-mailben ezt a linket. 105 00:04:54,780 --> 00:04:56,240 Azt mondom, jaj, itt egy link. 106 00:04:56,240 --> 00:04:57,290 Ez egy bank, például. 107 00:04:57,290 --> 00:05:01,390 Azt mondom, itt, menj erre a linkre. 108 00:05:01,390 --> 00:05:03,730 És ha egyszer küldik el, ők fog nézelődni. 109 00:05:03,730 --> 00:05:07,560 Tudok várni 15 másodperc, 20 másodperc, majd a pop, hogy jelentkezzen be újra 110 00:05:07,560 --> 00:05:08,840 jel vissza. 111 00:05:08,840 --> 00:05:10,120 Ti is próbáld ki sokkal több dolgot. 112 00:05:10,120 --> 00:05:13,190 Bonyolult, mert ti még nem láttam JavaScript, ezért előfordulhat, 113 00:05:13,190 --> 00:05:14,750 Nem tudom, bizonyos funkciókat. 114 00:05:14,750 --> 00:05:18,625 De mindössze annyit kell tennie, hogy a Start A script, végén script. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 És akkor tesz semmit a közepén. 117 00:05:25,510 --> 00:05:27,350 >> Alert egy olyan funkció, várjon. 118 00:05:27,350 --> 00:05:29,365 Window helyre viszi egy új helyre. 119 00:05:29,365 --> 00:05:31,370 De meg tudod csinálni sokkal több. 120 00:05:31,370 --> 00:05:32,630 És így az ötlet, hogy vesszük, hogy le. 121 00:05:32,630 --> 00:05:39,350 Ha elmegyek például kettő, és én ebbe a kódot, ez 122 00:05:39,350 --> 00:05:40,210 nem fog működni. 123 00:05:40,210 --> 00:05:43,620 Szóval ez a nyomtatás mindent, mert mi ezen a honlapon eredetileg 124 00:05:43,620 --> 00:05:50,350 tesz, ha tettem valamit itt, akkor az nyomtassa ki itt. 125 00:05:50,350 --> 00:05:52,390 Szóval ez nem nyomtat ki semmit. 126 00:05:52,390 --> 00:05:55,560 Ez a példa valójában ellenőrzi hogy ha script van. 127 00:05:55,560 --> 00:05:57,163 Szóval igen, gyerünk. 128 00:05:57,163 --> 00:05:57,606 Kérdezd meg. 129 00:05:57,606 --> 00:05:59,560 >> Közönség: nem küld GET vagy POST kérés? 130 00:05:59,560 --> 00:06:00,670 >> LUCIANO Arango: Igen. ők küld egy GET kérést. 131 00:06:00,670 --> 00:06:01,350 >> Közönség: Ez? 132 00:06:01,350 --> 00:06:02,490 >> LUCIANO Arango: Igen. 133 00:06:02,490 --> 00:06:04,030 Szintén böngésző a POST kérések. 134 00:06:04,030 --> 00:06:07,470 De próbálom megmutatni GET kéréseket hogy tudjuk, hogy mi az, 135 00:06:07,470 --> 00:06:10,760 valójában. 136 00:06:10,760 --> 00:06:12,880 És ha megnézzük ezt a kódot - így nem működik többé. 137 00:06:12,880 --> 00:06:24,870 És ha veszünk egy pillantást a kódot, ez lesz a példa kettő. 138 00:06:24,870 --> 00:06:29,300 Mi ez az ember csinál, az a személy felelős a böngésző - 139 00:06:29,300 --> 00:06:35,370 nyit, OK - 140 00:06:35,370 --> 00:06:39,290 váltja a szó script. 141 00:06:39,290 --> 00:06:42,850 Ez a PHP, ami nektek talán láttam egy kicsit még. 142 00:06:42,850 --> 00:06:46,250 >> Ő csak cseréje szó script nevét. 143 00:06:46,250 --> 00:06:50,895 Így viszont, ha jól megy előre és csak fel - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 ha megragad a kódot újra, és megyek módosítani, csak egy kicsit. 146 00:07:02,360 --> 00:07:15,010 Ahelyett, hogy script, én meg fog változni azt script tőke R. 147 00:07:15,010 --> 00:07:16,390 fogjuk, hogy ha ezt a kódot működik. 148 00:07:16,390 --> 00:07:19,090 Tehát nem nyomtassa ki, ami jó jel. 149 00:07:19,090 --> 00:07:21,990 És remélhetőleg a két másodperc, ez fog megjelenni. 150 00:07:21,990 --> 00:07:22,820 >> A bejelentkezési időtúllépés. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Semmi probléma. 153 00:07:24,460 --> 00:07:27,670 Így ellenőrzése script esetleg nem feltétlenül működik. 154 00:07:27,670 --> 00:07:28,130 Az a személy - 155 00:07:28,130 --> 00:07:32,290 azt is ellenőrizni script nagybetűs, script kisbetűs, str esetben 156 00:07:32,290 --> 00:07:34,180 összehasonlítani, győződjön meg róla, hogy ugyanaz. 157 00:07:34,180 --> 00:07:38,480 De a hacker is csinálni valami, amit tettük Vigenère amikor elköltöztünk 158 00:07:38,480 --> 00:07:40,620 vissza pár karakter, előrelépni. 159 00:07:40,620 --> 00:07:43,470 És tudja kitalálni, hogyan rakja script vissza, úgy, hogy az injekciós 160 00:07:43,470 --> 00:07:44,460 hogy a forgatókönyvet. 161 00:07:44,460 --> 00:07:50,370 >> Szóval, mit akarsz használni az htmlspecialchars a 162 00:07:50,370 --> 00:07:51,330 megvédeni a honlapon. 163 00:07:51,330 --> 00:07:56,490 És ez nem az, ez teszi arról, hogy mit tesz - 164 00:07:56,490 --> 00:07:59,610 például az árfolyamok, illetve ez a nagyobb vagy kisebb, mint - 165 00:07:59,610 --> 00:08:04,701 helyébe valami , hogy nem lesz - 166 00:08:04,701 --> 00:08:05,951 hadd nagyítás itt - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 a tényleges jelet. 169 00:08:09,685 --> 00:08:13,420 Ez fogja felváltani a különleges HTML karakter, hogy majd meglátjuk, ha vagyunk 170 00:08:13,420 --> 00:08:14,670 beszél - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 ó, ez lesz, hogy vigyen vissza - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 ezeket a karaktereket itt. 175 00:08:25,380 --> 00:08:28,180 >> Ezek jelzik, hogy valami jön. 176 00:08:28,180 --> 00:08:31,570 A HTML, hogy a kezdő konzol azt mondja, hogy valami 177 00:08:31,570 --> 00:08:33,299 HTML kapcsolódó jön. 178 00:08:33,299 --> 00:08:33,980 És szeretnénk megszabadulni, hogy. 179 00:08:33,980 --> 00:08:36,200 Nem akarjuk, hogy a HTML egy website.k Mi nem akarjuk, hogy a felhasználó számára, hogy 180 00:08:36,200 --> 00:08:40,260 képes tenni valamit a saját honlapján amely hatással lehet a honlapon, mint a 181 00:08:40,260 --> 00:08:43,480 script, vagy HTML, vagy valami ilyesmi. 182 00:08:43,480 --> 00:08:53,090 Mi a fontos az, hogy fertőtlenítse a felhasználói. 183 00:08:53,090 --> 00:08:54,720 >> Így a felhasználók input sok mindent. 184 00:08:54,720 --> 00:08:58,110 Ő beírhatja egy csomó dolog, hogy próbálja fogás a böngésző is 185 00:08:58,110 --> 00:08:59,410 fut ez a script kódot. 186 00:08:59,410 --> 00:09:02,870 Mit akarsz csinálni, nem csak nézni A script, de nézd mindent 187 00:09:02,870 --> 00:09:04,250 hogy lehet rosszindulatú. 188 00:09:04,250 --> 00:09:06,800 És htmlspecialchars fog tenni, hogy az Ön számára, így nem kell 189 00:09:06,800 --> 00:09:07,340 aggódni. 190 00:09:07,340 --> 00:09:12,280 De ne próbálja meg egyedül egyfajta saját kódját. 191 00:09:12,280 --> 00:09:14,055 Mindenki tisztában XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Menjünk az SQL injekció. 194 00:09:16,355 --> 00:09:21,010 Tehát SQL injection valószínűleg a számú sebezhetőség 195 00:09:21,010 --> 00:09:22,490 a különböző honlapokon. 196 00:09:22,490 --> 00:09:24,350 Úgy értem, egy jó példa - 197 00:09:24,350 --> 00:09:27,350 Csak kutatása legtávolabbi ezt a dolgot. 198 00:09:27,350 --> 00:09:34,430 És találtam ezt a fantasztikus cikket, ahol a Láttam, hogy a Harvard megsértett, 199 00:09:34,430 --> 00:09:35,390 volt, csapkodott. 200 00:09:35,390 --> 00:09:37,370 És azt gondoltam, nos, hogyan csinálják? 201 00:09:37,370 --> 00:09:41,660 Harvard az a legfélelmetesebb, a legtöbb biztonságos egyetem valaha. 202 00:09:41,660 --> 00:09:43,850 Nem igaz? 203 00:09:43,850 --> 00:09:45,410 Nos, hogy megszegi a szerver, A hackerek használt 204 00:09:45,410 --> 00:09:47,710 nevezett technikával SQL injekció. 205 00:09:47,710 --> 00:09:50,250 >> Tehát ez történik egy napi rendszerességgel. 206 00:09:50,250 --> 00:09:53,590 Az emberek elfelejtik, hogy figyelembe vegyék SQL injekció. 207 00:09:53,590 --> 00:09:54,930 Harvard csinál. 208 00:09:54,930 --> 00:10:00,050 Azt hiszem, itt az áll, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Szóval hogyan -, így mi is ezt az SQL injekció, hozza ezeket a 210 00:10:03,550 --> 00:10:05,668 az emberek le? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Tehát SQL programozási nyelv, amely használjuk az Access adatbázis. 213 00:10:12,090 --> 00:10:14,560 Mit teszünk mi válasszuk - 214 00:10:14,560 --> 00:10:18,510 Szóval mi ez olvas most is válassza mindent az asztalról. 215 00:10:18,510 --> 00:10:22,640 >> SQL, úgy változik az adatbázisok amelyek asztalok tele információt. 216 00:10:22,640 --> 00:10:26,550 Tehát válasszon ki mindent a felhasználók ahol a neve felhasználónév. 217 00:10:26,550 --> 00:10:28,120 Nem igaz? 218 00:10:28,120 --> 00:10:30,770 Elég egyszerű. 219 00:10:30,770 --> 00:10:34,490 A gondolat, az SQL injekciós hogy mi beszúrni egy rosszindulatú kódot, amely 220 00:10:34,490 --> 00:10:37,270 trükk a kiszolgálót futtató valami más, mint amit az 221 00:10:37,270 --> 00:10:38,430 eredetileg fut. 222 00:10:38,430 --> 00:10:44,970 Tehát mondjuk a felhasználóneveddel, teszünk vagy 1 értéke 1. 223 00:10:44,970 --> 00:10:46,700 Így teszünk vagy 1 értéke 1. 224 00:10:46,700 --> 00:10:49,890 Ez úgy fogja olvasni most már lesz select a felhasználók, mindent 225 00:10:49,890 --> 00:10:51,360 a felhasználók - ez minden - 226 00:10:51,360 --> 00:10:55,880 ahol a neve a felhasználóneveddel, de felhasználónév vagy 1 értéke 1. 227 00:10:55,880 --> 00:11:01,760 >> Tehát név semmi vagy 1 értéke 1. 228 00:11:01,760 --> 00:11:04,060 1 értéke 1 mindig igaz. 229 00:11:04,060 --> 00:11:07,690 Tehát ez mindig visszatér információk a felhasználók számára. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Nem kell, hogy a helyes nevet. 232 00:11:10,030 --> 00:11:14,240 Mi is csak bármit, amit akarunk, és visszatér információ 233 00:11:14,240 --> 00:11:15,690 , amire szükségünk van. 234 00:11:15,690 --> 00:11:17,160 Nézzünk egy másik példát. 235 00:11:17,160 --> 00:11:22,720 >> Ha már válassza mindent felhasználó, ahol a név DROP TABLE felhasználók - 236 00:11:22,720 --> 00:11:26,420 Szóval, mit gondolsz ez az akarat csinálni, ha tettem a felhasználónév 237 00:11:26,420 --> 00:11:29,560 mint DROP TABLE felhasználók? 238 00:11:29,560 --> 00:11:30,230 Bárki, aki egy ötlet? 239 00:11:30,230 --> 00:11:31,050 Igen. 240 00:11:31,050 --> 00:11:32,470 >> Közönség: Meg fog mondani azt kiírási összes asztal. 241 00:11:32,470 --> 00:11:35,460 >> LUCIANO Arango: Meg fog mondani dump mindent a honlapon, 242 00:11:35,460 --> 00:11:38,290 mindent az adatbázisban. 243 00:11:38,290 --> 00:11:41,910 És milyen ember használja ezt -, így Meg fogom mutatni nektek. 244 00:11:41,910 --> 00:11:45,462 Én tiltva csökken a táblák mert nem szeretném, ha 245 00:11:45,462 --> 00:11:48,240 srácok, hogy csökken a táblákat. 246 00:11:48,240 --> 00:11:49,850 Vessünk egy pillantást erre. 247 00:11:49,850 --> 00:11:54,410 Tehát ez egyszerűen húzza fel az információkat egy bizonyos személy. 248 00:11:54,410 --> 00:11:57,550 Szóval hogyan tudom, hogy ez befolyásolja SQL injekció. 249 00:11:57,550 --> 00:12:01,545 Mi lesz, hogy ellenőrizze igazi gyors ha nem tud valamit - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 hadd másolja ezt a kódot. 252 00:12:06,080 --> 00:12:08,140 Én megyek át, hogy egy másodperc alatt. 253 00:12:08,140 --> 00:12:12,210 Azt fogom tenni gyökér és 1 értéke 1. 254 00:12:12,210 --> 00:12:15,510 >> Ez itt, ez a százalék jel 23 - 255 00:12:15,510 --> 00:12:19,970 mi is valójában, ha néz ki jól itt - 256 00:12:19,970 --> 00:12:23,820 ahogy a HTML vesz számok, ha vessünk egy pillantást, amikor feltettem a térben 257 00:12:23,820 --> 00:12:28,380 Itt - ha én is helyet valamit itt, megváltoztatja azt a százalékban 2. 258 00:12:28,380 --> 00:12:31,420 Srácok látni ezt itt amikor feltettem a térben? 259 00:12:31,420 --> 00:12:36,710 Ez úgy működik, hogy csak küldeni ASCII értékek a HTML. 260 00:12:36,710 --> 00:12:40,330 Így helyettesíti, például a tér százalékkal 20. 261 00:12:40,330 --> 00:12:41,970 Nem tudom, ha ti láttam ilyet. 262 00:12:41,970 --> 00:12:45,100 >> Ez helyettesíti a hashtag a százalék 23. 263 00:12:45,100 --> 00:12:50,840 Meg kell egy hashtag végén vagy állítás tehát, hogy meg tudjuk mondani az 264 00:12:50,840 --> 00:13:00,885 adatbázis felejtsük el, hogy megjegyzésbe ez utóbbi a végén pontosvesszővel. 265 00:13:00,885 --> 00:13:03,060 Azt akarjuk, hogy ne gondolj rá. 266 00:13:03,060 --> 00:13:05,980 Csak azt akarjuk, hogy fut minden hogy mi van előtte, és 267 00:13:05,980 --> 00:13:07,450 elmondták, hogy ki. 268 00:13:07,450 --> 00:13:08,710 Vessünk egy pillantást rá. 269 00:13:08,710 --> 00:13:14,670 >> Tehát, ha én, hogy valami baj van - mondjuk például, tettem 2 egyenlő 270 00:13:14,670 --> 00:13:15,690 1, nem ad nekem semmit. 271 00:13:15,690 --> 00:13:22,930 Amikor feltettem 1 értéke 1, és ez vissza valamit, ez azt mondja, hogy 272 00:13:22,930 --> 00:13:24,660 ez ki van téve a SQL injekció. 273 00:13:24,660 --> 00:13:29,090 Most már tudom, hogy amit Tettem ezt követően - 274 00:13:29,090 --> 00:13:39,110 , és például, csepp TÁBLÁZATOK vagy valami ilyesmi 275 00:13:39,110 --> 00:13:41,190 biztosan működik. 276 00:13:41,190 --> 00:13:44,350 Tudom, hogy érzékeny a SQL injekció mert tudom, hogy 277 00:13:44,350 --> 00:13:49,850 a motorháztető alatt, ez hagyta rám a 1 értéke 1 dolog. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> És ha megnézzük ezeket a többi közül, kettes és hármas számú, ez 281 00:13:56,540 --> 00:13:59,110 fog tenni egy kicsit Az ellenőrzés alatt a 282 00:13:59,110 --> 00:14:03,680 motorháztető, hogy mi az. 283 00:14:03,680 --> 00:14:07,425 Tehát bárki, hogy a csökkenés már valamit, vagy próbálta? 284 00:14:07,425 --> 00:14:08,760 Srácok valami kap SQL még? 285 00:14:08,760 --> 00:14:10,430 Mert tudom, hogy a srácok nem láttam még, így ez a fajta 286 00:14:10,430 --> 00:14:11,759 zavaró a srácok. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Vessünk egy pillantást. 289 00:14:18,480 --> 00:14:21,270 Szóval mi a módja, hogy megakadályozzák SQLI? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Tehát ez nagyon fontos, mert srácok mindenképpen szeretné akadályozni 292 00:14:23,330 --> 00:14:24,090 ezt a weboldalak. 293 00:14:24,090 --> 00:14:28,040 >> Ha nem, minden a barátok fognak gúnyolódni meg, amikor minden csepp 294 00:14:28,040 --> 00:14:29,390 A táblákat. 295 00:14:29,390 --> 00:14:36,150 Tehát az ötlet az, hogy javítsa az SQL egy bizonyos módon, míg egyezik 296 00:14:36,150 --> 00:14:41,940 , amit a felhasználó bemenet e egy bizonyos karaktersorozatot. 297 00:14:41,940 --> 00:14:46,120 Tehát az Így működik akkor előkészíti az adatbázist. 298 00:14:46,120 --> 00:14:50,830 Kiválasztod név, szín, és a kalória egy adatbázisból nevű gyümölcsöt. 299 00:14:50,830 --> 00:14:53,580 És akkor hol kalóriát kevesebb, és mi tesz egy kérdőjel van 300 00:14:53,580 --> 00:14:56,530 mondván, megyünk be valamit a második. 301 00:14:56,530 --> 00:14:58,850 >> És a színe megegyezik, és tesszük a kérdés jel azt fogjuk 302 00:14:58,850 --> 00:15:00,913 input valamit egy másik is. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 És akkor végre azt, amivel 150 és piros. 305 00:15:09,920 --> 00:15:12,820 Ez ellenőrzi, hogy a arról, hogy ez a két - 306 00:15:12,820 --> 00:15:15,300 ez a tömb ellenőrzi, hogy ezek a kettő egész szám, és 307 00:15:15,300 --> 00:15:16,550 hogy ez egy karakterlánc. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Aztán menj, és hozd Minden, rakjuk piros. 310 00:15:20,890 --> 00:15:21,964 Ez azt jelenti, hogy letölti az összes. 311 00:15:21,964 --> 00:15:26,790 Ez azt jelenti, hogy valójában hajtja végre az SQL nyilatkozatot, és tegye vissza a piros. 312 00:15:26,790 --> 00:15:30,530 Itt ugyanezt, de ugyanezt a sárga. 313 00:15:30,530 --> 00:15:32,490 És leszedi az összes. 314 00:15:32,490 --> 00:15:36,140 >> És ezen a módon, a felhasználó előzzük attól, hogy képes valamit bemeneti 315 00:15:36,140 --> 00:15:41,710 ez nem az, amit megadott, egy sor vagy egész szám, pl. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Beszéltem korábban a támaszkodva mások. 318 00:15:46,610 --> 00:15:50,010 Amikor a srácok elindítja a projektet, akkor egészen biztosan fog használni 319 00:15:50,010 --> 00:15:52,310 bootstrap, vagy valami hasonló. 320 00:15:52,310 --> 00:15:53,490 Előfordult srácok valaha Wordpress? 321 00:15:53,490 --> 00:15:57,170 Valószínűleg srácok használnak Wordpress legvalószínűbb. 322 00:15:57,170 --> 00:16:00,050 Tehát a probléma a mások a dolgokat - 323 00:16:00,050 --> 00:16:05,940 Én csak megy a Google nagyon gyorsan Wordpress biztonsági rést. 324 00:16:05,940 --> 00:16:07,495 >> Ha meghúzom ezt fel most - 325 00:16:07,495 --> 00:16:08,995 Szó volt a két másik Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Láthatjuk, hogy a Wordpress - 328 00:16:13,800 --> 00:16:17,450 ez kelt, mint '12. 329 00:16:17,450 --> 00:16:19,120 26. frissül. 330 00:16:19,120 --> 00:16:23,620 Az alapértelmezett beállítás a Wordpress előtt 3.6 nem akadályozza ezeket a 331 00:16:23,620 --> 00:16:27,110 Bizonyos feltöltések, ami megkönnyíti az 332 00:16:27,110 --> 00:16:29,790 cross-site scripting támadásokat. 333 00:16:29,790 --> 00:16:34,530 Tehát egy gyors történet, miután dolgoztunk A - így voltam, nyáron, munka egy 334 00:16:34,530 --> 00:16:34,970 gyakorlat. 335 00:16:34,970 --> 00:16:40,400 És mi dolgozunk a fajta mint egy nagy hitelkártya-társaság. 336 00:16:40,400 --> 00:16:42,020 >> És támaszkodnak úgynevezett - 337 00:16:42,020 --> 00:16:45,740 Nem tudom, ha ti valaha is játszottam a termék hívott Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla egy termék, amely használható ellenőrzés - egyfajta hasonlóan 339 00:16:51,750 --> 00:16:54,340 Wordpress, használt weblapok. 340 00:16:54,340 --> 00:16:56,060 Így voltak a honlapon dolgozik Joomla. 341 00:16:56,060 --> 00:16:59,290 Ez tulajdonképpen egy hitelkártya cég Kolumbiában. 342 00:16:59,290 --> 00:17:01,000 Elviszlek, hogy a honlap gyorsan. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Így használják Joomla. 345 00:17:05,400 --> 00:17:08,630 És még nem frissített Joomla a legújabb. 346 00:17:08,630 --> 00:17:12,160 És amikor mi voltunk egy pillantást a kódot, tudtuk, hogy ténylegesen 347 00:17:12,160 --> 00:17:18,430 menj be a kódot, és ellopják az összes hitelkártya-információk, hogy volt, 348 00:17:18,430 --> 00:17:21,670 a hitelkártya számok, a neveket, a címeket. 349 00:17:21,670 --> 00:17:22,740 És ez csak - 350 00:17:22,740 --> 00:17:23,569 és kód tökéletesen rendben van. 351 00:17:23,569 --> 00:17:24,710 Nem volt nagy kódot. 352 00:17:24,710 --> 00:17:25,389 Ez volt minden, a biztonság. 353 00:17:25,389 --> 00:17:26,520 Ellenőrizték az összes adatbázist. 354 00:17:26,520 --> 00:17:29,020 Gondoskodott arról, cross-site scripting rendben volt. 355 00:17:29,020 --> 00:17:34,390 >> De használt valamit, ami nem volt frissített, ez nem biztos. 356 00:17:34,390 --> 00:17:36,940 És így vezette őket, hogy - így a srácok határozottan fog használni más 357 00:17:36,940 --> 00:17:40,650 emberek kódját, mások keretek hogy létrejöjjön a honlapján. 358 00:17:40,650 --> 00:17:43,860 Győződjön meg arról, hogy ők biztos, mert néha ez nem te vagy, az egyik, hogy 359 00:17:43,860 --> 00:17:44,480 hibázik. 360 00:17:44,480 --> 00:17:47,440 De valaki hibát követ el, és akkor esik le emiatt. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Jelszavak és PII. 363 00:17:53,885 --> 00:17:56,820 Tehát jelszavakat. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Vessünk egy pillantást a jelszavakat gyorsan. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Kérem, mondja meg, hogy mindenki használ biztonságos - 369 00:18:06,520 --> 00:18:09,030 Remélem, itt mindenki használ biztonságos jelszavakat. 370 00:18:09,030 --> 00:18:12,890 Én csak hagyom, hogy ben, mint egy feltételezés. 371 00:18:12,890 --> 00:18:14,850 Szóval srácok biztosan fog tárolja a jelszavakat a weboldalak. 372 00:18:14,850 --> 00:18:17,440 Fogsz tenni valamit, mint a login, vagy valami ilyesmi. 373 00:18:17,440 --> 00:18:19,610 Ami fontos, hogy ne tárolja jelszavakat szöveges formában. 374 00:18:19,610 --> 00:18:20,860 Ez rendkívül fontos. 375 00:18:20,860 --> 00:18:23,960 Nem akarsz tárolni a jelszó egyszerű szövegként. 376 00:18:23,960 --> 00:18:27,370 >> És akkor biztosan nem igazán akar tárolni, egy egyirányú hash. 377 00:18:27,370 --> 00:18:32,440 Tehát mi egy egyirányú hash, hogy ha létrehoz egy szót, ha fel ezt 378 00:18:32,440 --> 00:18:36,200 szó egy hash függvényt, hogy lesz generálni vissza valamilyen rejtélyes 379 00:18:36,200 --> 00:18:39,390 üzenetet, vagy rejtélyes kulcscsomót. 380 00:18:39,390 --> 00:18:40,640 Mutatok egy példát. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Megyek hash ők szót password1. 383 00:18:50,250 --> 00:18:55,280 Tehát MD5 fog visszatérni hozzám valamilyen furcsa információ. 384 00:18:55,280 --> 00:18:59,140 >> A probléma az, hogy az emberek ott hogy szeretnék bemenni weboldalak 385 00:18:59,140 --> 00:19:02,750 Már kitaláltam sort az összes md5 hash-eket. 386 00:19:02,750 --> 00:19:06,030 Amit tett, leültek a számítógépen, és kivonatolt minden 387 00:19:06,030 --> 00:19:09,660 egyetlen lehetséges szó ki ott, amíg hogy van valami, hogy mi ez. 388 00:19:09,660 --> 00:19:11,420 Ha én volt nézni ezt fel - 389 00:19:11,420 --> 00:19:12,420 Én csak megragadta ezt a hash. 390 00:19:12,420 --> 00:19:14,120 Ha kapok ezt a hash-tól - 391 00:19:14,120 --> 00:19:17,470 ha elmegyek egy honlap, és nem találok ez a hash, mert kapok a 392 00:19:17,470 --> 00:19:24,100 adatbázisok, és nézek fel, hogy valaki már rájött, hogy ki számomra. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Igen. 395 00:19:29,100 --> 00:19:35,030 Tehát az emberek leültek, és bármit md5 hash, amit hozott, ők fognak 396 00:19:35,030 --> 00:19:37,760 visszatér valamit ez a szó. 397 00:19:37,760 --> 00:19:39,800 Ha hash egy szó, mint - 398 00:19:39,800 --> 00:19:42,410 Nem tudom - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Én nem akarom, hogy csalódott az én Google keresések. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Ott van, trees2. 403 00:19:52,780 --> 00:19:55,930 Szóval egy csomó honlapok továbbra is használhatja md5 hash. 404 00:19:55,930 --> 00:19:57,730 Azt mondják, ó, ez biztos. 405 00:19:57,730 --> 00:19:58,570 Mi nem tárolja szöveges formában. 406 00:19:58,570 --> 00:19:59,740 Van ez az md5 hash. 407 00:19:59,740 --> 00:20:01,880 És minden, amit meg kell tennie, hogy csak Google-be a számot. 408 00:20:01,880 --> 00:20:03,940 >> Nem is kell, hogy számolja magam. 409 00:20:03,940 --> 00:20:06,790 Én csak a Google, és valaki Már csinálta. 410 00:20:06,790 --> 00:20:08,010 Itt van egy csomó őket. 411 00:20:08,010 --> 00:20:09,260 Itt van egy csomó jelszavakat. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Tehát egyáltalán nem használ md5 hash, mert csak annyit kell 414 00:20:18,680 --> 00:20:19,140 tennie, hogy a Google is. 415 00:20:19,140 --> 00:20:20,390 Szóval, mit akarsz használni helyette? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Valami úgynevezett sózás. 419 00:20:31,260 --> 00:20:32,460 Tehát mi sózás is - 420 00:20:32,460 --> 00:20:36,280 srácok emlékszem, amikor mi voltunk beszél véletlenszerűen - 421 00:20:36,280 --> 00:20:37,920 Nem vagyok biztos benne, mi Pset volt - 422 00:20:37,920 --> 00:20:41,140 volt Pset ott, vagy négy? 423 00:20:41,140 --> 00:20:45,150 >> Beszélgettünk a megállapítás a tűt a szénakazalban. 424 00:20:45,150 --> 00:20:48,480 És a Pset, azt mondta, hogy lehetett valóban rájönni, hogy mi véletlenszerű 425 00:20:48,480 --> 00:20:51,840 generál, mert valaki már futott Véletlen egy millió alkalommal, és csak 426 00:20:51,840 --> 00:20:53,230 fajta alakult, amit generál. 427 00:20:53,230 --> 00:20:55,840 Mit akarsz csinálni a hozott egy bemenet. 428 00:20:55,840 --> 00:20:57,130 Szóval, ez az, amit sózás fajta is. 429 00:20:57,130 --> 00:21:00,900 Már kitaláltam, mi sózás visszatér minden munkát. 430 00:21:00,900 --> 00:21:04,750 >> Tehát mi sózás tesz, teszel a sót. 431 00:21:04,750 --> 00:21:06,160 Ön tesz egy bizonyos szót. 432 00:21:06,160 --> 00:21:09,720 És ez hash ezt a szót attól mit tesz itt. 433 00:21:09,720 --> 00:21:13,570 Tehát, ha én hash jelszót egyet ezzel a mondat, ez lesz a hash 434 00:21:13,570 --> 00:21:17,180 másképp, ha hash password1 egy másik mondat. 435 00:21:17,180 --> 00:21:21,670 Ez a fajta adja valahol indítsa el a hasító kezdeni. 436 00:21:21,670 --> 00:21:25,970 Tehát ez egy sokkal nehezebb kiszámítani, de még kiszámítania, különösen 437 00:21:25,970 --> 00:21:26,830 ha egy rossz sót. 438 00:21:26,830 --> 00:21:29,650 >> Az emberek már azt is kitalálta, közös sók és rájöttek 439 00:21:29,650 --> 00:21:31,500 , hogy mi az. 440 00:21:31,500 --> 00:21:34,980 Véletlen sók sokkal jobb, de a legjobb módja az, hogy 441 00:21:34,980 --> 00:21:38,160 úgynevezett kriptában. 442 00:21:38,160 --> 00:21:40,480 És mi kriptában lehetővé teszi, hogy ezt - így ezek a funkciók 443 00:21:40,480 --> 00:21:41,820 Már épül az Ön számára. 444 00:21:41,820 --> 00:21:44,910 Sokan elfelejtik, hogy vagy elfelejtik használni. 445 00:21:44,910 --> 00:21:54,520 De ha felnézek kripta PHP, kripta Már vissza hash karakterláncot nekem. 446 00:21:54,520 --> 00:21:58,790 És ez valóban sók sokszor és hash-ek sokszor. 447 00:21:58,790 --> 00:22:00,070 >> Tehát nem kell ezt. 448 00:22:00,070 --> 00:22:04,790 Szóval, csak annyit kell tennie, hogy küldje el a kriptában. 449 00:22:04,790 --> 00:22:08,170 És ez létre fog hozni egy nagy hash nélkül meg, hogy aggódnia a só 450 00:22:08,170 --> 00:22:08,990 , vagy ilyesmi. 451 00:22:08,990 --> 00:22:12,000 Mert ha úgy döntesz, hogy a só, akkor van emlékezni, milyen sót használnak 452 00:22:12,000 --> 00:22:13,800 , mert ha nem, akkor nem kap jelszó vissza anélkül, hogy a 453 00:22:13,800 --> 00:22:15,760 só, amit használt. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> És azt is személyes azonosításra információt. 457 00:22:23,150 --> 00:22:26,730 Így a társadalombiztosítási, hitelkártya - ez elég nyilvánvaló. 458 00:22:26,730 --> 00:22:31,880 De néha az emberek elfelejteni, ahogy azt működik az, hogy mennyi információt ugye 459 00:22:31,880 --> 00:22:35,690 valóban kell találni egy ember? 460 00:22:35,690 --> 00:22:37,740 Valaki volt egy tanulmány ezt vissza. 461 00:22:37,740 --> 00:22:40,870 És ez olyan volt, mint, ha van a teljes név, nem találja 462 00:22:40,870 --> 00:22:41,610 valaki, hogy könnyen. 463 00:22:41,610 --> 00:22:43,900 De mi van, ha van egy teljes neve és a születési dátum? 464 00:22:43,900 --> 00:22:47,770 Ez elég ahhoz, hogy azonosítani valakit konkrétan? 465 00:22:47,770 --> 00:22:52,760 >> Mi van, ha a nevüket és a utcát, hogy élnek? 466 00:22:52,760 --> 00:22:55,110 Ez elég ahhoz, hogy talál valakit? 467 00:22:55,110 --> 00:23:02,490 És mikor kérdésre, hogy mi személyes azonosításra alkalmas információkat, és 468 00:23:02,490 --> 00:23:05,360 mit kell aggódnia nem adja el? 469 00:23:05,360 --> 00:23:08,770 Ha adsz el a személyes azonosításra információ, hogy valaki ad, 470 00:23:08,770 --> 00:23:11,420 akkor esetleg kap perelhető. 471 00:23:11,420 --> 00:23:12,610 És biztosan nem akarom. 472 00:23:12,610 --> 00:23:14,955 >> Tehát, ha teszed a honlapon ki, és van egy nagyon jó 473 00:23:14,955 --> 00:23:17,230 design, remélhetőleg készült egy fantasztikus projekt végső. 474 00:23:17,230 --> 00:23:18,370 Minden meg a fajta akar tedd odakint. 475 00:23:18,370 --> 00:23:21,420 Azt szeretnénk, hogy győződjön meg arról, hogy bármilyen szedi a felhasználó, ha ez 476 00:23:21,420 --> 00:23:25,310 személyes azonosításra alkalmas adatokat, akkor szeretnénk, hogy győződjön meg róla, hogy nagyon 477 00:23:25,310 --> 00:23:26,560 óvatos vele. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Shell injekciót. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Shell injekció segítségével a behatoló jut, hogy a tényleges parancssori 482 00:23:37,590 --> 00:23:39,660 a szerver. 483 00:23:39,660 --> 00:23:44,060 És ő tudja, hogy kódot futtathat hogy nem tudja ellenőrizni. 484 00:23:44,060 --> 00:23:49,560 Nézzünk egy példát erre szép szöveg itt. 485 00:23:49,560 --> 00:23:55,570 Ha bemegy a honlapon újra, én vagyok fog menni kódot injekciót. 486 00:23:55,570 --> 00:23:58,910 Szóval, mit is csinál ez a - 487 00:23:58,910 --> 00:24:00,420 ez is mi volt nézett előtt. 488 00:24:00,420 --> 00:24:11,200 Mi, hogy a felhasználó fel bármilyen akar, és kiírja 489 00:24:11,200 --> 00:24:12,220 amit akarsz. 490 00:24:12,220 --> 00:24:13,890 >> Így fogok tenni a hívást. 491 00:24:13,890 --> 00:24:15,540 Mi ez - 492 00:24:15,540 --> 00:24:16,940 el fog kezdeni az összefűző. 493 00:24:16,940 --> 00:24:19,520 Így lesz engedik bármilyen parancs a személy fut 494 00:24:19,520 --> 00:24:21,500 előtt, és az én parancsot. 495 00:24:21,500 --> 00:24:23,980 És Futok rendszer parancsot. 496 00:24:23,980 --> 00:24:27,310 És ezek az utolsó húrok - emlékszik mit beszéltem nektek arról, 497 00:24:27,310 --> 00:24:31,725 mivel az meg kell kódolni azt egy URL-módszer. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Ha futok ezt most - 500 00:24:36,992 --> 00:24:39,150 Megmutatom itt - 501 00:24:39,150 --> 00:24:41,100 látni fogja, hogy én végül fel fut a parancs. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Ez tulajdonképpen a kiszolgáló tényleges hogy a honlap fut. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Tehát nem akarjuk, hogy a mert tudok futni - 506 00:24:58,510 --> 00:25:00,320 ez a szerver nem az enyém. 507 00:25:00,320 --> 00:25:04,030 Szóval nem akarom elrontani a testvére, Marcus szerver. 508 00:25:04,030 --> 00:25:07,470 De lehet futtatni több parancsot , amelyek veszélyesek. 509 00:25:07,470 --> 00:25:11,885 És esetleg, akkor törölje fájlokat, távolítsa el a könyvtárakat. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Én lehet eltávolítani egy bizonyos könyvtár, ha Akartam, de nem akarom 512 00:25:17,970 --> 00:25:19,530 erre a Marcus. 513 00:25:19,530 --> 00:25:20,420 Ő egy kedves fickó. 514 00:25:20,420 --> 00:25:21,470 Hagyta, hogy kölcsön a szerveren. 515 00:25:21,470 --> 00:25:24,620 Így fogok hadd ki a jó. 516 00:25:24,620 --> 00:25:32,280 >> Tehát mi nem akarunk használni - mi nem szeretné használni eval vagy a rendszer. 517 00:25:32,280 --> 00:25:34,755 Eval vagy a rendszer lehetővé teszi, hogy ezeket a rendszer a hívásokat. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval eszközök értékelésére. 520 00:25:38,410 --> 00:25:40,790 A rendszer azt jelenti, amit én futottam. 521 00:25:40,790 --> 00:25:42,490 Ez fut valami a rendszerben. 522 00:25:42,490 --> 00:25:46,730 De lehet törvényen kívül ezeket a dolgokat PHP, hogy mi nem használjuk őket. 523 00:25:46,730 --> 00:25:47,400 És fájlt feltölteni. 524 00:25:47,400 --> 00:25:49,180 Úgy volt, hogy csinál egy félelmetes dolog a feltöltés. 525 00:25:49,180 --> 00:25:52,740 De mint mondtam nektek, a fájl feltöltés a dolog nem működik. 526 00:25:52,740 --> 00:25:54,590 Ha én feltölteni egy fájlt most - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 ha én feltölteni egy fájlt, és ez a kép - 529 00:26:00,830 --> 00:26:03,180 van egy feltöltési dolog ez a kép. 530 00:26:03,180 --> 00:26:03,660 Ez rendben van. 531 00:26:03,660 --> 00:26:04,280 Semmi nem történik. 532 00:26:04,280 --> 00:26:10,840 >> De ha van egy fájl feltöltése, a példa, és a felhasználó valóban feltöltések 533 00:26:10,840 --> 00:26:19,220 PHP fájl vagy exe fájl vagy valami ilyen, akkor potenciálisan 534 00:26:19,220 --> 00:26:19,740 van egy probléma. 535 00:26:19,740 --> 00:26:21,390 Ezt dolgozott korábban. 536 00:26:21,390 --> 00:26:25,202 Sajnos nekem ez nem működik többé. 537 00:26:25,202 --> 00:26:30,230 Ha, például, töltsd fel a fájlt, én vagyok nem kap engedélyt feltölteni 538 00:26:30,230 --> 00:26:33,400 miatt a fájlt a szerverre hogy nem az enyém. 539 00:26:33,400 --> 00:26:38,670 Tehát a srác nagyon okos. 540 00:26:38,670 --> 00:26:39,610 >> Tehát nem akar - 541 00:26:39,610 --> 00:26:40,130 Meg fogom mutatni nektek - 542 00:26:40,130 --> 00:26:41,840 OK, ezek közül néhány igazán cool eszközöket. 543 00:26:41,840 --> 00:26:45,100 Tehát ezek - 544 00:26:45,100 --> 00:26:47,715 bemegy - ha a srácok Firefox - Remélhetőleg igen. 545 00:26:47,715 --> 00:26:54,260 Van két kiegészítő úgynevezett SQL Inject Én és Cross-Site Script Me. 546 00:26:54,260 --> 00:26:56,870 Nyitnak mindössze oldalon bár az oldalon. 547 00:26:56,870 --> 00:27:01,480 És ha én menni CS60 például - 548 00:27:01,480 --> 00:27:04,210 Tehát mi csinál ez úgy néz ki, minden formáját, amely - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 remélem, nem fogok bajba ezt. 551 00:27:08,760 --> 00:27:09,190 >> De az OK gombra. 552 00:27:09,190 --> 00:27:12,600 Itt a csap rendszert. 553 00:27:12,600 --> 00:27:18,946 Tehát, amikor elkezdi keres lyukak A rendszer, az első dolog, amit tehetünk, 554 00:27:18,946 --> 00:27:21,820 nyissa meg ezt a szép kis eszköz az oldalán. 555 00:27:21,820 --> 00:27:24,160 És én fogom tesztelni formák automatikus támadások. 556 00:27:24,160 --> 00:27:28,510 És így, hogy ez mire is lesz lassan nyit egy csomó böngészők. 557 00:27:28,510 --> 00:27:29,930 Itt van egy csomó böngészők. 558 00:27:29,930 --> 00:27:33,320 És megpróbál minden egyes kombináció A cross-site scripting 559 00:27:33,320 --> 00:27:37,380 hogy esetleg ott van, ha látod az oldalon. 560 00:27:37,380 --> 00:27:42,080 >> És ez ad nekem egy eredmény fajta, amit a válasz. 561 00:27:42,080 --> 00:27:42,860 Minden elmúlik. 562 00:27:42,860 --> 00:27:43,910 Nyilvánvaló, hogy minden elmúlik. 563 00:27:43,910 --> 00:27:46,190 Úgy értem, ők nagyon okos az emberek ott. 564 00:27:46,190 --> 00:27:48,010 De ha én futni - 565 00:27:48,010 --> 00:27:52,050 Elegem van idő előtt, amikor én vezetem ezt a tanulók végső projekteket. 566 00:27:52,050 --> 00:27:56,080 Egyszerűen fuss SQL Adja be Me-vel minden más támadásokat. 567 00:27:56,080 --> 00:28:00,080 És próbál SQL injekciót ezt a PIN-kiszolgáló. 568 00:28:00,080 --> 00:28:03,590 Tehát, ha görgessen lefelé, a Például, azt mondja - 569 00:28:03,590 --> 00:28:04,960 ez jó, ha visszatér. 570 00:28:04,960 --> 00:28:08,250 >> Így tesztelték néhány bizonyos értékeket. 571 00:28:08,250 --> 00:28:11,170 És a szerver vissza a kód, amely negatív volt. 572 00:28:11,170 --> 00:28:11,780 Vegye le ideiglenesen. 573 00:28:11,780 --> 00:28:13,030 Ez jó. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Megpróbálja ezeket a vizsgálatokat. 576 00:28:20,750 --> 00:28:21,790 Szóval egyszerűen futni - 577 00:28:21,790 --> 00:28:27,860 Bárcsak találni a honlapon igazi gyors, ami hadd - 578 00:28:27,860 --> 00:28:29,110 Lehet, hogy a CS50 boltban. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Wow, ez lesz a tart túl sokáig. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Majd az első teszt nem fejeződik be a jobb. 583 00:28:55,130 --> 00:28:57,330 Szóval ez panaszkodik. 584 00:28:57,330 --> 00:28:58,470 Tehát ezek három dolgot. 585 00:28:58,470 --> 00:29:00,430 Ezek az eszközök ingyenesek. 586 00:29:00,430 --> 00:29:03,960 Letöltheti őket, és fuss őket a honlapján, és azt mondani, ha 587 00:29:03,960 --> 00:29:06,650 Ön cross-site scripting, ha az SQL, ha van 588 00:29:06,650 --> 00:29:07,900 valami hasonló. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Én egyfajta Messiás. 591 00:29:14,500 --> 00:29:15,550 >> Ami fontos - 592 00:29:15,550 --> 00:29:17,900 OK, így soha ne bízz a felhasználó. 593 00:29:17,900 --> 00:29:21,920 Bármi is legyen a felhasználó által bevitt neked, hogy Biztos, hogy fertőtlenítse, akkor tisztítsa meg, 594 00:29:21,920 --> 00:29:25,300 ellenőrizze a helyes dolgokat, , hogy ez így, mit 595 00:29:25,300 --> 00:29:28,240 akarom adni neked. 596 00:29:28,240 --> 00:29:32,460 Mindig frissíteni kell, hogy milyen keretek között hogy te tényleg használ. 597 00:29:32,460 --> 00:29:34,630 Ha valami hasonló bootstrap - 598 00:29:34,630 --> 00:29:36,340 Tudom, hogy ti fog használni bootstrap mert ő fog menni 599 00:29:36,340 --> 00:29:38,140 mint ilyen hamar osztály - 600 00:29:38,140 --> 00:29:43,120 és a Wordpress vagy valami ilyesmi, Normális esetben ez lehet csapkodott. 601 00:29:43,120 --> 00:29:44,770 >> És akkor nem is tudom. 602 00:29:44,770 --> 00:29:45,800 Te csak fut a honlapon. 603 00:29:45,800 --> 00:29:47,360 És ez teljesen biztos. 604 00:29:47,360 --> 00:29:51,730 És megy le. 605 00:29:51,730 --> 00:29:54,000 Szóval halászat nagyon korán. 606 00:29:54,000 --> 00:29:55,770 De szeretnék köszönetet mondani Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Meg fogom mutatni nektek valamit úgynevezett Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Ha a srácok tényleg érdekel a milyen biztonsági valójában, van egy 609 00:30:05,000 --> 00:30:07,300 website hívott Pentest Labs, ha mentek, hogy most azonnal. 610 00:30:07,300 --> 00:30:10,730 Hát, ez nem az. 611 00:30:10,730 --> 00:30:12,030 Én csak fog futni, mint ez. 612 00:30:12,030 --> 00:30:14,400 A Google azt mondja, a választ. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 És megtanít téged használni - így azt mondja, tanulni web penetráció 615 00:30:19,030 --> 00:30:21,060 tesztelése a helyes utat. 616 00:30:21,060 --> 00:30:23,650 Azt tanítja, - 617 00:30:23,650 --> 00:30:25,150 Remélhetőleg te etikai ember. 618 00:30:25,150 --> 00:30:29,200 De arra tanít, hogyan lehet nézni hogyan lehet bejutni weboldalak. 619 00:30:29,200 --> 00:30:31,130 És ha megtanulják, hogyan lehet bejutni weboldalak, meg lehet tanulni, hogyan kell 620 00:30:31,130 --> 00:30:34,960 megvédje magát a szerzés belső weboldalak. 621 00:30:34,960 --> 00:30:39,100 Hadd nagyítás, mert lehet, hogy a srácok nem néztem ezt a jogot. 622 00:30:39,100 --> 00:30:46,350 >> A SQL injection shell, így Valahogy úgy, hogyan tudok SQL 623 00:30:46,350 --> 00:30:48,530 injekciót a héj. 624 00:30:48,530 --> 00:30:53,890 És akkor töltse le ezt a virtuális gépet. 625 00:30:53,890 --> 00:30:55,690 És a virtuális gép már most a honlap, hogy te 626 00:30:55,690 --> 00:30:56,780 fogja próbálni. 627 00:30:56,780 --> 00:30:58,030 Akkor töltse le ezt a PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 És ez megmutatja, soronként mit meg kell csinálni, amit ellenőrizni. 630 00:31:08,370 --> 00:31:14,560 Ez az, amit a támadó valójában nem bejutni a honlapon. 631 00:31:14,560 --> 00:31:15,750 >> És néhány dolgot bonyolult. 632 00:31:15,750 --> 00:31:17,520 Bárcsak menjen át több dolgokat veletek. 633 00:31:17,520 --> 00:31:21,090 De attól tartok, hogy a srácok Nem igazán - 634 00:31:21,090 --> 00:31:23,090 ez az, amit én átmentem a srácok, web tesztek 635 00:31:23,090 --> 00:31:26,830 A penetrációs tesztelés. 636 00:31:26,830 --> 00:31:33,540 Nem igazán tudom, mi SQL, és mi - 637 00:31:33,540 --> 00:31:35,960 Carl Jackson szeminárium félelmetes is. 638 00:31:35,960 --> 00:31:37,360 Ti nem tudod sort Az, hogy mi ez. 639 00:31:37,360 --> 00:31:39,450 De ha ezen a honlapon, és le ezeket útmutatók és ezek 640 00:31:39,450 --> 00:31:43,290 PDF-ek, akkor vessen egy pillantást egyfajta mi a biztonság valóban 641 00:31:43,290 --> 00:31:46,940 A behatolás tesztelés, nézze meg, hogyan lehet belsejébe honlapok és védelme 642 00:31:46,940 --> 00:31:48,020 magát tőle. 643 00:31:48,020 --> 00:31:56,360 >> Tehát, ha egy szuper gyors áttekintést, ez lesz megakadályozni cross-site scripting. 644 00:31:56,360 --> 00:32:00,160 A használni kívánt htmlspecialchars minden amikor a felhasználó bemenet valamit. 645 00:32:00,160 --> 00:32:01,580 Akadályozza SQL injekció. 646 00:32:01,580 --> 00:32:04,510 Ha ezt teszed, akkor már jobb, mint a Harvard volt 647 00:32:04,510 --> 00:32:06,530 amikor kapott sérül. 648 00:32:06,530 --> 00:32:10,510 És győződjön meg róla, hogy a jelszavak nem szöveges formában. 649 00:32:10,510 --> 00:32:16,220 Győződjön meg róla, hogy nem csak egy módja hash őket, de hogy használja kripta, a PHP 650 00:32:16,220 --> 00:32:18,670 funkció, amely azt mutatta, srácok. 651 00:32:18,670 --> 00:32:20,060 Így, akkor legyen jó. 652 00:32:20,060 --> 00:32:25,830 >> Továbbá, ha a barátok segítségével, futni SQL fecskendezze Én a saját honlapjukon. 653 00:32:25,830 --> 00:32:28,140 Fuss cross-site scripting a saját honlapjukon. 654 00:32:28,140 --> 00:32:33,720 És akkor megjelenik egy csomó ilyen honlapok Van egy csomó biztonsági réseket. 655 00:32:33,720 --> 00:32:40,400 Hihetetlen, hogy milyen sok ember elfelejti sanitize az adatbázisok, vagy, hogy 656 00:32:40,400 --> 00:32:46,340 arról, hogy mi az adott személy bevitele nem script kódot. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Valahogy végül nagyon korán. 659 00:32:49,182 --> 00:32:56,510 De ha valakinek van bármilyen kérdése van semmit, akkor lőni nekem egy kérdést. 660 00:32:56,510 --> 00:32:56,630 Igen. 661 00:32:56,630 --> 00:32:56,970 Menj, menj. 662 00:32:56,970 --> 00:32:59,846 >> Közönség: Én csak azt szeretném megkérdezni, meg tudja magyarázni, hogy a fájl 663 00:32:59,846 --> 00:33:03,160 feltölteni pontosan működik. 664 00:33:03,160 --> 00:33:03,480 >> LUCIANO Arango: Igen. 665 00:33:03,480 --> 00:33:06,350 Hadd mutassam meg a fájlt töltsd fel gyorsan. 666 00:33:06,350 --> 00:33:11,300 Tehát a feltöltés - 667 00:33:11,300 --> 00:33:14,500 A probléma esze a feltöltés most, hogy - 668 00:33:14,500 --> 00:33:18,541 Megyek, hogy nyissa meg a kódot, így a srácok lásd a kódot a színfalak mögött. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 És ez feltölt. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Itt egy kódot a fájl feltöltő. 673 00:33:31,560 --> 00:33:33,980 >> Megpróbáljuk, hogy menjen ebbe könyvtár ide. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 És mi próbálunk, ha egyszer be a fájl isset fájl - tehát, ha van egy 676 00:33:44,880 --> 00:33:50,900 fájlt FILES, hogy a képet, majd próbáljuk mozgatni itt. 677 00:33:50,900 --> 00:33:51,910 Mi megragad a fájl itt. 678 00:33:51,910 --> 00:33:58,350 A módszer POST, típusa, a kép, a fájl. 679 00:33:58,350 --> 00:33:59,630 És mi küldjük ezt a fájlt. 680 00:33:59,630 --> 00:34:03,910 És akkor, ha megkapjuk azt, így ha a fájl van egy kép, próbálunk elküldeni 681 00:34:03,910 --> 00:34:05,060 ebbe a könyvtárba. 682 00:34:05,060 --> 00:34:09,814 >> A probléma az, hogy a honlap nem megengedte, hogy megy ez a könyvtár, 683 00:34:09,814 --> 00:34:12,239 mert nem akarja, hogy menjek vissza. 684 00:34:12,239 --> 00:34:13,489 Nem akarod, hogy menjek - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Mennem kell - Tehát itt van feltölteni. 687 00:34:17,070 --> 00:34:17,639 Itt képeket. 688 00:34:17,639 --> 00:34:21,780 El kell menni egészen vissza a elején, és tegye ott és akkor 689 00:34:21,780 --> 00:34:23,820 menj és tedd be a könyvtárba. 690 00:34:23,820 --> 00:34:30,000 Tehát, ha én fut egy terminál ablak, és szerettem volna áthelyezni a file - 691 00:34:30,000 --> 00:34:30,409 [Nem hallható] 692 00:34:30,409 --> 00:34:32,159 láthatja. 693 00:34:32,159 --> 00:34:37,940 Ha akartam mozgatni egy fájlt, én , hogy a fájl nevét, majd a 694 00:34:37,940 --> 00:34:40,860 teljes elérési utat akarom, hogy küldje el. 695 00:34:40,860 --> 00:34:45,110 >> És akkor a szerver nem engedte vissza. 696 00:34:45,110 --> 00:34:46,929 És ez így nem hagyja nekem, hogy a fájlt. 697 00:34:46,929 --> 00:34:47,670 De általában - 698 00:34:47,670 --> 00:34:49,360 így van egy kód feltölteni egy fájlt. 699 00:34:49,360 --> 00:34:52,260 Így általában, mi fog történni, hogy a személy nem ellenőrzi, ha a fájlt 700 00:34:52,260 --> 00:34:57,920 végződik. jpeg, így szeretne ellenőrizni. 701 00:34:57,920 --> 00:35:00,054 Hadd nyissam egy példát is gyorsan. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Ez a személy van - 705 00:35:09,230 --> 00:35:11,980 így például két ellenőrzi ha preg_match - 706 00:35:11,980 --> 00:35:14,180 itt van itt - 707 00:35:14,180 --> 00:35:19,660 annak biztosítása, hogy végződik PHP, ami jó. 708 00:35:19,660 --> 00:35:20,580 Ez jó. 709 00:35:20,580 --> 00:35:22,820 De van egy igazi nagy probléma ezzel. 710 00:35:22,820 --> 00:35:24,600 Ez jó. 711 00:35:24,600 --> 00:35:44,190 De ha én, hogy egy fájlt úgynevezett myfavoritepicture.php.jpeg, tudtam 712 00:35:44,190 --> 00:35:50,060 Még mindig lehetséges, hogy megszabaduljon a jpeg és fuss it.k, hogy a PHP veszélyes. 713 00:35:50,060 --> 00:35:53,850 Nem akarjuk, hogy a személy képes futtatni kódot a weboldalán. 714 00:35:53,850 --> 00:35:55,750 >> De aztán. Jpeg lehetővé teszi, hogy elmúlik. 715 00:35:55,750 --> 00:36:00,720 Az ötlet az, amit igazán akarok nem veszi fájlokat, A. De, OK, mi 716 00:36:00,720 --> 00:36:07,500 szeretné tennie, hogy arról, hogy olvassa el az egész világon. 717 00:36:07,500 --> 00:36:08,720 És nincs semmi. Php benne. 718 00:36:08,720 --> 00:36:10,500 Nincs. Php a teljes fájl nevét. 719 00:36:10,500 --> 00:36:12,780 >> Közönség: de lehet tedd. jpeg a végén. 720 00:36:12,780 --> 00:36:15,830 A szerverek még mindig fut a kódot. 721 00:36:15,830 --> 00:36:16,870 >> LUCIANO Arango: Nem, nem fog fut az elején. 722 00:36:16,870 --> 00:36:22,310 Meg kell, hogy menjen vissza, és próbálja hogy ha lehet - 723 00:36:22,310 --> 00:36:24,210 >> Közönség: Tehát meg kell - 724 00:36:24,210 --> 00:36:26,020 OK, csak egy másik, amely magában foglalja - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANO Arango: Igen. 726 00:36:26,936 --> 00:36:29,230 >> Közönség: OK. 727 00:36:29,230 --> 00:36:31,486 >> LUCIANO Arango: Igen. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Van még kérdés? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Fogom hagyni ezt fel, és rendezni az próbálja meg, hátha ti is - 732 00:36:37,350 --> 00:36:40,490 a többit egy kicsit bonyolult, mert kell sok 733 00:36:40,490 --> 00:36:44,050 több ismerete SQL, mint a elején ismerete webes SQL, és 734 00:36:44,050 --> 00:36:47,010 mi JavaScript. 735 00:36:47,010 --> 00:36:49,730 De én megpróbálom tartani ezt fel, és remélhetőleg srácok tanulni fog 736 00:36:49,730 --> 00:36:53,230 erről, és próbálja meg, hogy egy kandikál mit lehet csinálni, és hány példát 737 00:36:53,230 --> 00:36:54,420 lehet átjutni. 738 00:36:54,420 --> 00:36:56,020 >> Bárki, aki bármilyen más kérdések róla? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Rajta. 741 00:37:00,350 --> 00:37:01,170 Ja, lőni, lőni. 742 00:37:01,170 --> 00:37:01,580 Persze, nyugodtan. 743 00:37:01,580 --> 00:37:01,850 Rajta. 744 00:37:01,850 --> 00:37:02,310 >> Közönség: OK. 745 00:37:02,310 --> 00:37:08,870 Hallottam arról, hogy a Magic Quotes nem elég biztonságos. 746 00:37:08,870 --> 00:37:09,280 >> LUCIANO Arango Mi - 747 00:37:09,280 --> 00:37:10,110 Mágikus idézetek? 748 00:37:10,110 --> 00:37:10,595 >> Közönség: Igen. 749 00:37:10,595 --> 00:37:15,445 Így hozzá -, így amikor be valamit, mindig hozzáteszi idézi. 750 00:37:15,445 --> 00:37:15,930 >> LUCIANO Arango: Igen. 751 00:37:15,930 --> 00:37:16,000 Igen. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> Közönség: És akkor azt gondoltam, hogy dolgozott, de aztán kerestem fel. 754 00:37:19,113 --> 00:37:21,648 És azt mondta, hogy ez nem jó. 755 00:37:21,648 --> 00:37:23,050 De nem vagyok benne biztos, hogy miért. 756 00:37:23,050 --> 00:37:23,360 >> LUCIANO Arango: Igen. 757 00:37:23,360 --> 00:37:26,240 >> Közönség: Ne használjon a Magic Quotes, mert nem biztonságos. 758 00:37:26,240 --> 00:37:26,360 >> LUCIANO Arango: OK. 759 00:37:26,360 --> 00:37:31,735 Tehát Mágikus Idézetek, amikor behelyezi SQL és már hozzá az idézet az Ön számára. 760 00:37:31,735 --> 00:37:33,520 >> Közönség: Mindig hozzáteszi idézetek körül bármit teszel be 761 00:37:33,520 --> 00:37:34,210 >> LUCIANO Arango: Igen. 762 00:37:34,210 --> 00:37:37,190 Szóval a probléma azzal van, hogy - 763 00:37:37,190 --> 00:37:38,445 Elviszem egy pillantást - 764 00:37:38,445 --> 00:37:41,390 >> Közönség: Milyen szert Az SQL utasítás? 765 00:37:41,390 --> 00:37:44,690 Vagy talán lehet mint idézet válasszon. 766 00:37:44,690 --> 00:37:49,030 >> LUCIANO Arango: Igen, szükség van jó idézi az SQL. 767 00:37:49,030 --> 00:37:52,900 >> Közönség: Nem, de a szerver nem az Ön számára. 768 00:37:52,900 --> 00:37:54,460 >> LUCIANO Arango: Ezek a kis idézetek Itt, ezek a kis idézetek? 769 00:37:54,460 --> 00:37:55,670 >> Közönség: Igen. 770 00:37:55,670 --> 00:37:56,450 >> LUCIANO Arango: Igen. 771 00:37:56,450 --> 00:37:59,860 A probléma az, hogy van-e megjegyzésbe az utolsó - 772 00:37:59,860 --> 00:38:05,770 OK, akkor mit tehetek, hogy én comment ki - így vessünk egy pillantást - hadd 773 00:38:05,770 --> 00:38:07,920 Nyisson meg egy szöveges fájlt szerkeszteni. 774 00:38:07,920 --> 00:38:09,610 Hadd módosítsa ezt Itt közvetlenül. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Nem tudnátok látni, hogy tisztán? 778 00:38:23,710 --> 00:38:29,730 Mit tehetek, hogy én comment ki az utolsó. 779 00:38:29,730 --> 00:38:32,190 Ez a megjegyzésbe az utolsó. 780 00:38:32,190 --> 00:38:36,760 És akkor én meg az egyik itt van, tegye az összes rosszindulatú dolog itt. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Így a felhasználó valójában bevitele, ugye? 783 00:38:42,630 --> 00:38:45,230 A felhasználó nem bevitele a dolgokat, ugye? 784 00:38:45,230 --> 00:38:47,430 Ez az, amit én fogok bemenet a személy próbál bejutni. 785 00:38:47,430 --> 00:38:49,430 Fogom tenni - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 ez az egyik idézőjel. 788 00:39:00,180 --> 00:39:01,760 Ez csak kacskaringós véletlenül. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 És akkor mi a kód fog tenni - 791 00:39:19,400 --> 00:39:20,190 Sajnálom, fogom ezt ki. 792 00:39:20,190 --> 00:39:22,170 Mi a kód fog tenni a ez meg fog adni az első 793 00:39:22,170 --> 00:39:24,030 idézőjel itt. 794 00:39:24,030 --> 00:39:26,040 És ez meg fog adni az utolsó idézőjelet is. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> És ez is fog hozzá a Végül, az utolsó idézőjel. 797 00:39:33,270 --> 00:39:37,380 De én kommentálja ezeket az idézet jelöl ki, így nem futnak. 798 00:39:37,380 --> 00:39:41,440 És én befejező ezt az idézetet jelölje ide. 799 00:39:41,440 --> 00:39:42,290 Érted? 800 00:39:42,290 --> 00:39:43,750 Ön elveszett? 801 00:39:43,750 --> 00:39:45,880 Én meg véleményét a legutóbbi idézet jelet, és vigyázni a 802 00:39:45,880 --> 00:39:46,680 első idézőjel. 803 00:39:46,680 --> 00:39:47,350 >> Közönség: És csak kivitelben az elsőt. 804 00:39:47,350 --> 00:39:47,480 >> LUCIANO Arango: Igen. 805 00:39:47,480 --> 00:39:48,400 És csak befejezni az első. 806 00:39:48,400 --> 00:39:48,790 Igen, ez így van. 807 00:39:48,790 --> 00:39:50,800 Ez az, amit tehetek. 808 00:39:50,800 --> 00:39:51,890 Igen. 809 00:39:51,890 --> 00:39:52,980 Minden más kérdés, mint ez? 810 00:39:52,980 --> 00:39:54,230 Ez egy jó kérdés. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 No, igen, talán. 813 00:39:59,790 --> 00:40:06,150 Remélhetőleg, srácok valami, hogy több értelme, ha tanulni SQL és 814 00:40:06,150 --> 00:40:06,650 ilyesmi. 815 00:40:06,650 --> 00:40:07,980 De győződj meg róla, hogy - 816 00:40:07,980 --> 00:40:10,340 tartani ezeket az eszközöket nézni. 817 00:40:10,340 --> 00:40:12,760 Sajnos, ezek az eszközök itt. 818 00:40:12,760 --> 00:40:14,200 Ezek az eszközök nagy. 819 00:40:14,200 --> 00:40:17,190 Ha valakinek van bármilyen kérdése, akkor is e-mailt nekem. 820 00:40:17,190 --> 00:40:19,020 Ez a normális e-mailt. 821 00:40:19,020 --> 00:40:25,015 És ez az én munkahelyi e-mail, amely amikor dolgozom a tengereken. 822 00:40:25,015 --> 00:40:26,040 >> OK, köszönöm. 823 00:40:26,040 --> 00:40:26,740 Köszi, srácok. 824 00:40:26,740 --> 00:40:27,860 Te jó menni. 825 00:40:27,860 --> 00:40:28,830 Nem kell itt maradni. 826 00:40:28,830 --> 00:40:29,570 Ne tapsolni. 827 00:40:29,570 --> 00:40:30,170 Ez furcsa. 828 00:40:30,170 --> 00:40:31,420 OK, köszönöm, srácok. 829 00:40:31,420 --> 00:40:32,320