1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> Luciano Arango: OK, krakkar. 3 00:00:10,300 --> 00:00:11,550 Mitt nafn er Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Ég er sophomore í Adams House. 5 00:00:13,915 --> 00:00:17,550 Og við erum að fara að tala um Web öryggi virka varnar. 6 00:00:17,550 --> 00:00:24,220 Svo ég vinn fyrir skrifstofu Upplýsingar Öryggi í höfunum. 7 00:00:24,220 --> 00:00:28,670 Og yfir sumarið, ég interned á SeguraTec, sem var upplýsinga 8 00:00:28,670 --> 00:00:31,310 öryggi fyrirtæki sem þjónaði bankanum of Columbia. 9 00:00:31,310 --> 00:00:34,740 Það er að mestu leyti þar sem ég lærði það sem ég hef lært hingað til. 10 00:00:34,740 --> 00:00:37,990 >> Og svo sumir af the efni sem við erum að fara yfir í dag, höfum við ekki 11 00:00:37,990 --> 00:00:39,670 virkilega talað um í bekknum. 12 00:00:39,670 --> 00:00:40,410 En við munum fljótlega. 13 00:00:40,410 --> 00:00:42,360 Það er að fara að vera eins og SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 Og við höfum í raun ekki farið yfir það. 15 00:00:44,870 --> 00:00:47,730 Svo ég geti raða flugs í gegnum það, og þú might ekki vita nokkra hluti. 16 00:00:47,730 --> 00:00:48,890 En fljótlega, þú munt læra það. 17 00:00:48,890 --> 00:00:52,080 Og það verður allt vit. 18 00:00:52,080 --> 00:00:54,010 Einnig annar hlutur - 19 00:00:54,010 --> 00:00:55,780 vera siðferðileg. 20 00:00:55,780 --> 00:01:00,560 Sumir af þeim hlutum sem þú lærir, þú gæti notað í non-siðferðilegum hætti. 21 00:01:00,560 --> 00:01:01,950 >> Ef það er þitt, ákveðið að reyna. 22 00:01:01,950 --> 00:01:04,500 Ég hvetja ákveðið ykkur að reyna eigin þjónum þínum, reyndu 23 00:01:04,500 --> 00:01:05,519 fara inni þá. 24 00:01:05,519 --> 00:01:08,500 Sjá hvort þú geta komast þá, ef þú getur fengið inni í þeim. 25 00:01:08,500 --> 00:01:09,560 En ekki einhver annar er. 26 00:01:09,560 --> 00:01:12,390 Löggur í raun ekki eins brandara og allt, leggjum þetta hér. 27 00:01:12,390 --> 00:01:14,040 Við vorum Messías í kring. 28 00:01:14,040 --> 00:01:15,780 Þeir fá raunverulega reiður. 29 00:01:15,780 --> 00:01:18,700 >> Svo höfuð yfir á þetta vefsvæði. 30 00:01:18,700 --> 00:01:23,560 Ég hef það opnaði hérna. 31 00:01:23,560 --> 00:01:26,780 Þetta er vefsíða, og það hefur fullt af dæmum. 32 00:01:26,780 --> 00:01:30,000 Hvað sem gerist er að fyrsta dæmið er tegund af að fara til vera a einhver fjöldi auðveldlega 33 00:01:30,000 --> 00:01:33,470 en síðustu td í vissum skilningi að fyrsta dæmið 34 00:01:33,470 --> 00:01:34,970 er alveg óörugg. 35 00:01:34,970 --> 00:01:40,850 Og það síðasta er eiginlega hvað eðlilegur vefur öryggi maður myndi gera. 36 00:01:40,850 --> 00:01:42,760 En þú getur samt raða af komast í kringum það. 37 00:01:42,760 --> 00:01:44,860 Og við erum að fara að einblína á einn og tveir, dæmi eitt og tvö. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Við skulum byrja með kross-staður forskriftarþarfir. 41 00:01:52,780 --> 00:01:56,100 JavaScript er keyrt á vafranum viðskiptavinarins. 42 00:01:56,100 --> 00:01:59,980 Það er forritunarmál sem þú notar að keyra á vafranum viðskiptavinarins svo 43 00:01:59,980 --> 00:02:04,120 þú þarft ekki að uppfæra heimasíðuna og fara aftur til the framreiðslumaður. 44 00:02:04,120 --> 00:02:04,940 Þú hafa það að keyra. 45 00:02:04,940 --> 00:02:08,870 Til dæmis, Facebook, þú þarft ekki að endurhlaða heimasíðu fyrir nýja stöðu 46 00:02:08,870 --> 00:02:09,710 uppfærslur til að koma upp. 47 00:02:09,710 --> 00:02:12,170 Það er að nota JavaScript til að búa til allt þetta. 48 00:02:12,170 --> 00:02:16,290 Svo við getum sprautað illgjarn JavaScript inn í vefsíður. 49 00:02:16,290 --> 00:02:20,890 Og þannig, þegar við að senda tengil einhver, gætum við svoleiðis senda hana með 50 00:02:20,890 --> 00:02:23,050 sumir af the merkjamál sem við viljum. 51 00:02:23,050 --> 00:02:26,450 >> Það er viðvarandi og ekki viðvarandi JavaScript - 52 00:02:26,450 --> 00:02:30,640 viðvarandi og ekki viðvarandi kross-staður forskriftarþarfir, ég meina. 53 00:02:30,640 --> 00:02:33,760 Og munurinn er sú að viðvarandi er JavaScript sem mun vera 54 00:02:33,760 --> 00:02:36,060 vistuð á heimasíðu. 55 00:02:36,060 --> 00:02:39,780 Og ekki viðvarandi verður að hafa JavaScript sem mun í raun bara gerst einu sinni. 56 00:02:39,780 --> 00:02:41,795 Svo skulum líta á dæmi raunverulegur fljótur. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Svo þetta vefsvæði, einfalt, ekkert gerist hér. 60 00:02:51,620 --> 00:02:53,070 Og við ætlum að reyna að setja smá JavaScript. 61 00:02:53,070 --> 00:02:58,110 Svo leið við byrjum að skrifa JavaScript er við byrjum við upphaf handriti. 62 00:02:58,110 --> 00:03:00,570 Og við að loka því með handriti. 63 00:03:00,570 --> 00:03:03,770 Við erum einfaldlega að fara að setja skilaboð - 64 00:03:03,770 --> 00:03:05,410 Ég skal sýna þér - 65 00:03:05,410 --> 00:03:06,500 vakandi. 66 00:03:06,500 --> 00:03:11,150 Alert er fall sem JavaScript notar til að sýna eitthvað. 67 00:03:11,150 --> 00:03:12,400 Svo skulum reyna það raunverulegur fljótur. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Ég ætla að fara, vakandi Hello. 70 00:03:18,944 --> 00:03:20,400 Jæja, ég gleymdi að setja - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Svo einfalt er það. 74 00:03:26,540 --> 00:03:28,730 >> Við setjum JavaScript á vefsíðu, og það kom upp. 75 00:03:28,730 --> 00:03:31,200 Og það svoleiðis bara gerist á heimasíðu okkar, ekki satt? 76 00:03:31,200 --> 00:03:33,040 Svo það virðist eins og það er ekki vandamál, ekki satt? 77 00:03:33,040 --> 00:03:34,920 Ég meina, hvernig væri hægt að nota þetta illgirni? 78 00:03:34,920 --> 00:03:39,930 Svo leið að tölvusnápur gera þetta er mjög einfalt. 79 00:03:39,930 --> 00:03:40,970 Hann ætlar að grípa það. 80 00:03:40,970 --> 00:03:43,750 Þeir geta sent þennan tengil til þín. 81 00:03:43,750 --> 00:03:46,780 Ef ég ætla að senda á þennan tengil til þín núna, og þú opnar það upp, það er að fara að 82 00:03:46,780 --> 00:03:51,620 segja, halló, að segja að vefsíðan mín er að segja þér halló. 83 00:03:51,620 --> 00:03:57,280 >> Og svo ef ég væri að segja eitthvað svolítið betri, ef ég draga upp 84 00:03:57,280 --> 00:03:59,880 JavaScript fall ég konar af þegar skrifaði - 85 00:03:59,880 --> 00:04:03,940 en ef þú lítur á það, ég fer yfir það áður en ég skrifaði það. 86 00:04:03,940 --> 00:04:06,650 Þannig að við erum að fara að setja tímamörk. 87 00:04:06,650 --> 00:04:08,450 Við ætlum að bíða eftir nokkrar sekúndur. 88 00:04:08,450 --> 00:04:13,970 Í raun erum við að fara að bíða eftir, ef Ég er ekki skakkur, fimm sekúndur. 89 00:04:13,970 --> 00:04:15,870 Þetta fer í millisekúndur. 90 00:04:15,870 --> 00:04:18,640 Og þá er það sem við erum að fara að gera við erum fara til að láta að tenging 91 00:04:18,640 --> 00:04:21,459 rann út til að skrá þig aftur inn 92 00:04:21,459 --> 00:04:23,990 Og við erum að fara að breyta staðsetningu á annan stað. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Þannig að ef ég sendi þessa vefsíðu til einhvers, hann ætlar að vera 95 00:04:32,970 --> 00:04:34,380 beit í kring, logn. 96 00:04:34,380 --> 00:04:35,650 Ekkert er að gerast. 97 00:04:35,650 --> 00:04:38,550 Og í fimm sekúndur, það er að fara að segja, tenging þín rann út. 98 00:04:38,550 --> 00:04:40,200 Vinsamlegast skráðu þig aftur inn 99 00:04:40,200 --> 00:04:43,400 Þegar þeir smella á OK, ég ætla að taka þá í annan vef. 100 00:04:43,400 --> 00:04:45,980 Væntanlega, the website er að fara að vera svipað á vef sem 101 00:04:45,980 --> 00:04:47,280 þeir voru í áður. 102 00:04:47,280 --> 00:04:50,770 Og hann ætlar að skrá þig þeirra persónuskilríki á minni heimasíðu í stað 103 00:04:50,770 --> 00:04:51,850 heimasíðu þeirra. 104 00:04:51,850 --> 00:04:54,780 >> Og svo ég geti sent fólki email með þennan tengil. 105 00:04:54,780 --> 00:04:56,240 Ég segi, ó, hér er tengill. 106 00:04:56,240 --> 00:04:57,290 Þetta er í banka, til dæmis. 107 00:04:57,290 --> 00:05:01,390 Ég segi, hér fara á þennan tengil. 108 00:05:01,390 --> 00:05:03,730 Og þegar þeir senda það, þá eru þeir að fara að beit í kring. 109 00:05:03,730 --> 00:05:07,560 Ég get beðið í 15 sekúndur, 20 sekúndur, og þá skjóta það vinsamlegast skráðu þig aftur í 110 00:05:07,560 --> 00:05:08,840 inn aftur á. 111 00:05:08,840 --> 00:05:10,120 Þú krakkar getur prófað það með A einhver fjöldi fleiri hlutum. 112 00:05:10,120 --> 00:05:13,190 Það er flókið vegna þess að þú krakkar hef ekki séð JavaScript, svo þú might 113 00:05:13,190 --> 00:05:14,750 ekki sumar aðgerðir. 114 00:05:14,750 --> 00:05:18,625 En allt sem þú þarft að gera er að byrja með handrit, enda með handriti. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 Og þú gætir sett neitt í miðju. 117 00:05:25,510 --> 00:05:27,350 >> Alert er fall, bíða. 118 00:05:27,350 --> 00:05:29,365 Window staðsetning tekur þig á nýjan stað. 119 00:05:29,365 --> 00:05:31,370 En þú getur gert svo margt fleira. 120 00:05:31,370 --> 00:05:32,630 Og svo er hugmyndin að við tökum það burt. 121 00:05:32,630 --> 00:05:39,350 Ef ég fer til dæmis tvö, og ég setja í sama kóða, það er 122 00:05:39,350 --> 00:05:40,210 ekki að fara að vinna. 123 00:05:40,210 --> 00:05:43,620 Svo það er prentun allt út af því að hvað þetta vefsvæði upphaflega 124 00:05:43,620 --> 00:05:50,350 gerir er ef ég setja neitt hér, það verður að prenta það út hérna. 125 00:05:50,350 --> 00:05:52,390 Svo það er ekki prentun neitt út. 126 00:05:52,390 --> 00:05:55,560 Þetta dæmi er í raun að skoða að sjá ef handritið er þar. 127 00:05:55,560 --> 00:05:57,163 Svo já, fara á undan. 128 00:05:57,163 --> 00:05:57,606 Spurðu mig. 129 00:05:57,606 --> 00:05:59,560 >> Áhorfendur: Er ekki að senda A fá eða sent beiðni? 130 00:05:59,560 --> 00:06:00,670 >> Luciano Arango: Já. þeir eru senda FÁ beiðni. 131 00:06:00,670 --> 00:06:01,350 >> Áhorfendur: Það er? 132 00:06:01,350 --> 00:06:02,490 >> Luciano Arango: Já. 133 00:06:02,490 --> 00:06:04,030 Einnig vafrar nota POST beiðnir. 134 00:06:04,030 --> 00:06:07,470 En ég er að reyna að sýna komast óskir svo að við getum séð hvað er 135 00:06:07,470 --> 00:06:10,760 í raun að fara á. 136 00:06:10,760 --> 00:06:12,880 Og svo ef við skoðum þennan kóða - svo það er ekki að virka lengur. 137 00:06:12,880 --> 00:06:24,870 Og ef við lítum á þennan kóða, það er að fara að vera í dæmi tvö. 138 00:06:24,870 --> 00:06:29,300 Hvað þessi maður er að gera, sá í forsvari þessa vafra - 139 00:06:29,300 --> 00:06:35,370 opna, OK - 140 00:06:35,370 --> 00:06:39,290 er skipta orðið handriti. 141 00:06:39,290 --> 00:06:42,850 Þetta er PHP, sem þið gætu hafa séð smá ennþá. 142 00:06:42,850 --> 00:06:46,250 >> Hann er bara að skipta um Orðið handrit með nafni. 143 00:06:46,250 --> 00:06:50,895 Svo hins vegar ef ég fer á undan og var að setja í - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 ef ég grípa númerið mitt aftur, og ég ætla að breyta henni bara smá. 146 00:07:02,360 --> 00:07:15,010 Í stað þess að handriti, ég ætla að breyta það fyrir handrit með höfuðborg R. og 147 00:07:15,010 --> 00:07:16,390 við erum að fara að sjá hvort þetta númer virkar. 148 00:07:16,390 --> 00:07:19,090 Svo það var ekki að prenta það út, sem er gott tákn. 149 00:07:19,090 --> 00:07:21,990 Og vonandi í tveimur fleiri sekúndur, það er að fara að skjóta upp kollinum. 150 00:07:21,990 --> 00:07:22,820 >> Innskráning þín rann út. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Það er allt í lagi. 153 00:07:24,460 --> 00:07:27,670 Svo stöðva fyrir handrit gæti ekki endilega að vinna. 154 00:07:27,670 --> 00:07:28,130 Sá - 155 00:07:28,130 --> 00:07:32,290 það getur einnig athugað fyrir handrit hástafi, handrit lágstafir, STR ræða 156 00:07:32,290 --> 00:07:34,180 bera saman, ganga úr skugga um að þeir séu það sama. 157 00:07:34,180 --> 00:07:38,480 En tölvusnápur geta enn gert konar hvað við gerðum í Vigenere þegar við fluttum 158 00:07:38,480 --> 00:07:40,620 aftur a par stafir, halda áfram. 159 00:07:40,620 --> 00:07:43,470 Og það er hægt að reikna út hvernig á að setja handrit aftur í það svo það getur sprautað 160 00:07:43,470 --> 00:07:44,460 að handritið. 161 00:07:44,460 --> 00:07:50,370 >> Svo hvað sem þú vilt nota er htmlspecialchars til 162 00:07:50,370 --> 00:07:51,330 vernda þinn website. 163 00:07:51,330 --> 00:07:56,490 Og hvað þetta gerir er að það gerir viss um að það sem þú setur í - 164 00:07:56,490 --> 00:07:59,610 til dæmis, tilvitnanir eða þetta meiri en eða minna en - 165 00:07:59,610 --> 00:08:04,701 komi með eitthvað sem mun ekki vera - 166 00:08:04,701 --> 00:08:05,951 láta mig súmma inn hér - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 í raun merkið. 169 00:08:09,685 --> 00:08:13,420 Það mun skipta slíkar sérstaka HTML stafir sem við munum sjá þegar við erum 170 00:08:13,420 --> 00:08:14,670 að tala um - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 ó, þetta er að fara að taka mig aftur til - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 Þessir stafir hérna. 175 00:08:25,380 --> 00:08:28,180 >> Þetta signify að eitthvað kemur. 176 00:08:28,180 --> 00:08:31,570 Fyrir HTML, að byrjun krappi segir okkur að eitthvað 177 00:08:31,570 --> 00:08:33,299 HTML tengdar kemur. 178 00:08:33,299 --> 00:08:33,980 Og við viljum losna við það. 179 00:08:33,980 --> 00:08:36,200 Við viljum ekki að setja HTML inn í website.k Við viljum ekki notandanum kleift að vera 180 00:08:36,200 --> 00:08:40,260 fær um að setja eitthvað í heimasíðu þeirra sem getur haft áhrif á vefsíðu þeirra, eins og 181 00:08:40,260 --> 00:08:43,480 handrit eða HTML eða eitthvað svoleiðis. 182 00:08:43,480 --> 00:08:53,090 Hvað er mikilvægt er að þú sanitize notandi inntak. 183 00:08:53,090 --> 00:08:54,720 >> Þannig að notendur geta inntak margt. 184 00:08:54,720 --> 00:08:58,110 Hann getur inntak fullt af efni til að reyna að plata vafrann inn enn 185 00:08:58,110 --> 00:08:59,410 að keyra þetta handrit kóðann. 186 00:08:59,410 --> 00:09:02,870 Það sem þú vilt gera er ekki bara að líta fyrir handrit, en útlit fyrir allt 187 00:09:02,870 --> 00:09:04,250 sem gæti verið illgjarn. 188 00:09:04,250 --> 00:09:06,800 Og htmlspecialchars mun gera það fyrir þig, svo þú þarft ekki 189 00:09:06,800 --> 00:09:07,340 að hafa áhyggjur óður í það. 190 00:09:07,340 --> 00:09:12,280 En ekki reyna að gera sjálfur svoleiðis með eigin kóðann þinn. 191 00:09:12,280 --> 00:09:14,055 Er allir á hreinu XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Við skulum fara að SQL inndælingu. 194 00:09:16,355 --> 00:09:21,010 Svo er SQL innspýting líklega númer eitt varnarleysi 195 00:09:21,010 --> 00:09:22,490 í mismunandi vefsíður. 196 00:09:22,490 --> 00:09:24,350 Ég meina, gott dæmi - 197 00:09:24,350 --> 00:09:27,350 Ég var bara að rannsaka lengst fyrir þetta. 198 00:09:27,350 --> 00:09:34,430 Og ég fann þetta frábæra grein, þar Ég sá að Harvard var brotið, 199 00:09:34,430 --> 00:09:35,390 var tölvusnápur. 200 00:09:35,390 --> 00:09:37,370 Og ég var að spá, vel, Hvernig myndu þeir gera það? 201 00:09:37,370 --> 00:09:41,660 Harvard er mest ógnvekjandi, flest tryggja háskóla alltaf. 202 00:09:41,660 --> 00:09:43,850 Satt? 203 00:09:43,850 --> 00:09:45,410 Jæja, til að brjóta netþjóna, tölvusnápur notaði 204 00:09:45,410 --> 00:09:47,710 tækni sem nefnist SQL innspýting. 205 00:09:47,710 --> 00:09:50,250 >> Þannig að þetta gerist á degi til dags. 206 00:09:50,250 --> 00:09:53,590 Fólk gleymir að taka tillit til fyrir SQL stungulyf. 207 00:09:53,590 --> 00:09:54,930 Harvard gerir. 208 00:09:54,930 --> 00:10:00,050 Ég held að það segir hér, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Svo hvernig gera við - hvað er þetta SQL innspýting sem er að koma öllum þessum 210 00:10:03,550 --> 00:10:05,668 fólk niður? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Svo er forritunarmál SQL sem við notum til að fá aðgang gagnagrunna. 213 00:10:12,090 --> 00:10:14,560 Það sem við gerum er að við að velja - 214 00:10:14,560 --> 00:10:18,510 Svo er það þetta les núna er að velja allt frá borðinu. 215 00:10:18,510 --> 00:10:22,640 >> SQL, það breytist í þessum gagnasöfnum sem hafa borðum fullt af upplýsingum. 216 00:10:22,640 --> 00:10:26,550 Svo velja allt frá notendum þar sem nafn er notendanafnið. 217 00:10:26,550 --> 00:10:28,120 Satt? 218 00:10:28,120 --> 00:10:30,770 Nógu einfalt. 219 00:10:30,770 --> 00:10:34,490 Hugmyndin af SQL stungulyf er að við setja sumir illgjarn merkjamál sem myndi 220 00:10:34,490 --> 00:10:37,270 plata miðlara í gangi eitthvað öðruvísi en það sem það 221 00:10:37,270 --> 00:10:38,430 upphaflega var í gangi. 222 00:10:38,430 --> 00:10:44,970 Svo skulum segja username, við setja í eða 1 er 1. 223 00:10:44,970 --> 00:10:46,700 Þannig að við setjum í eða 1 er 1. 224 00:10:46,700 --> 00:10:49,890 Hvernig það mun lesa nú verður að velja frá notendum, allt frá 225 00:10:49,890 --> 00:10:51,360 notendur - þetta er allt - 226 00:10:51,360 --> 00:10:55,880 þar sem nafn er notendanafnið, en notendanafn er eða 1 er 1. 227 00:10:55,880 --> 00:11:01,760 >> Svo nafn er ekkert eða 1 er jafnt og 1. 228 00:11:01,760 --> 00:11:04,060 1 er jafnt og 1 er alltaf satt. 229 00:11:04,060 --> 00:11:07,690 Þannig að þetta verður alltaf skila upplýsingum frá notendum. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Við þurfum ekki að hafa rétt notandanafn. 232 00:11:10,030 --> 00:11:14,240 Við getum bara haft neitt sem við viljum, og það mun skila upplýsingum 233 00:11:14,240 --> 00:11:15,690 að við þurfum. 234 00:11:15,690 --> 00:11:17,160 Við skulum líta á annað dæmi. 235 00:11:17,160 --> 00:11:22,720 >> Ef við höfum valið allt frá notanda, þar sem nafn er DROP TAFLA notendur - 236 00:11:22,720 --> 00:11:26,420 svo hvað finnst þér þetta mun gera ef ég setti inn notandanafnið 237 00:11:26,420 --> 00:11:29,560 sem DROP TAFLA notendur? 238 00:11:29,560 --> 00:11:30,230 Einhver hafa hugmynd? 239 00:11:30,230 --> 00:11:31,050 Já. 240 00:11:31,050 --> 00:11:32,470 >> Áhorfendur: Það er að fara að segja það að afrita öll borðin. 241 00:11:32,470 --> 00:11:35,460 >> Luciano Arango: Það er að fara að segja okkur að afrita allt í viðbót, 242 00:11:35,460 --> 00:11:38,290 allt í gagnagrunninum. 243 00:11:38,290 --> 00:11:41,910 Og það sem fólk notar þetta fyrir - svo Ég ætla að sýna ykkur. 244 00:11:41,910 --> 00:11:45,462 Ég fatlaður sleppa borðum vegna þess að ég vildi ekki að þú 245 00:11:45,462 --> 00:11:48,240 krakkar að falla borðum mínum. 246 00:11:48,240 --> 00:11:49,850 Láta 'taka a líta á þetta. 247 00:11:49,850 --> 00:11:54,410 Þannig að þetta einfaldlega draga upp upplýsingar í tiltekinn einstakling. 248 00:11:54,410 --> 00:11:57,550 Svo hvernig vitum við hvort þetta er áhrifum af SQL stungulyf. 249 00:11:57,550 --> 00:12:01,545 Við erum að fara að athuga raunverulegur fljótur ef við getum sett eitthvað - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 láta mig afrita þennan kóða. 252 00:12:06,080 --> 00:12:08,140 Ég ætla að fara yfir það í annað. 253 00:12:08,140 --> 00:12:12,210 Ég ætla að setja rót og 1 er 1. 254 00:12:12,210 --> 00:12:15,510 >> Þetta hérna, þetta prósentumerkið 23 - 255 00:12:15,510 --> 00:12:19,970 hvað það er í raun, ef ég líta hérna á - 256 00:12:19,970 --> 00:12:23,820 hvernig HTML tekur í tölur, ef þú taka a líta á þegar ég setti í rúm 257 00:12:23,820 --> 00:12:28,380 hér - ef ég væri að rúm eitthvað hér, það breytist það til prósent 2.. 258 00:12:28,380 --> 00:12:31,420 Gera þú krakkar sjá þetta hérna þegar ég setti í rúmi? 259 00:12:31,420 --> 00:12:36,710 The vegur það verksmiðja er að þú getur aðeins senda ASCII gildi gegnum HTML. 260 00:12:36,710 --> 00:12:40,330 Þannig að það kemur í stað, til dæmis, pláss með prósent 20. 261 00:12:40,330 --> 00:12:41,970 Ég veit ekki hvort þið hafa séð það áður. 262 00:12:41,970 --> 00:12:45,100 >> Það kemur í stað hashtag með prósent 23. 263 00:12:45,100 --> 00:12:50,840 Við þurfum að hashtag lok eða yfirlýsingu svo að við getum sagt að 264 00:12:50,840 --> 00:13:00,885 gagnagrunninn til að gleyma að tjá út þetta síðasta semíkommu í lokin. 265 00:13:00,885 --> 00:13:03,060 Við viljum það til að hugsa ekki um það. 266 00:13:03,060 --> 00:13:05,980 Við viljum bara það að keyra allt að við höfum fyrirfram og 267 00:13:05,980 --> 00:13:07,450 comment þessi út. 268 00:13:07,450 --> 00:13:08,710 Láta 'taka a líta á það. 269 00:13:08,710 --> 00:13:14,670 >> Þannig að ef ég væri að setja eitthvað rangt - segjum til dæmis, ég setti 2 jafn 270 00:13:14,670 --> 00:13:15,690 1, er það ekki gefa mér neitt. 271 00:13:15,690 --> 00:13:22,930 Þegar ég setti í 1. jafngildir 1, og það gerir aftur eitthvað, þetta segir mér að 272 00:13:22,930 --> 00:13:24,660 þetta er viðkvæmt fyrir SQL stungulyf. 273 00:13:24,660 --> 00:13:29,090 Ég veit nú að allt sem Ég setti eftir þetta - 274 00:13:29,090 --> 00:13:39,110 og til dæmis, falla TÖFLUR eða eitthvað svoleiðis 275 00:13:39,110 --> 00:13:41,190 mun örugglega vinna. 276 00:13:41,190 --> 00:13:44,350 Ég veit að það er viðkvæmt fyrir SQL stungulyf vegna þess að ég veit að 277 00:13:44,350 --> 00:13:49,850 undir hetta, það er að láta mig gera 1 er 1 hlutur. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> Og ef við lítum á þessar öðrum sjálfur, númer tvö og númer þrjú, það er 281 00:13:56,540 --> 00:13:59,110 að fara að gera svolítið meira stöðva undir hlutanum 282 00:13:59,110 --> 00:14:03,680 hetta hvað það er. 283 00:14:03,680 --> 00:14:07,425 Svo einhver gera falla eitthvað enn eða reynt? 284 00:14:07,425 --> 00:14:08,760 Gera þú krakkar konar fá SQL enn? 285 00:14:08,760 --> 00:14:10,430 Vegna þess að ég veit að þið hafið ekki séð hana ennþá, þannig að það er eins konar 286 00:14:10,430 --> 00:14:11,759 ruglingslegt fyrir ykkur. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Skulum taka a útlit. 289 00:14:18,480 --> 00:14:21,270 Svo er það leiðin til að koma í veg fyrir SQLI? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Þannig að þetta er mjög mikilvægt vegna þess að þú krakkar vilja örugglega koma í veg fyrir 292 00:14:23,330 --> 00:14:24,090 þetta í vefsíður þínar. 293 00:14:24,090 --> 00:14:28,040 >> Ef ekki, eru allir vinir þínir fara að gera grín af þér þegar þeir falla allt 294 00:14:28,040 --> 00:14:29,390 töflur. 295 00:14:29,390 --> 00:14:36,150 Svo hugmyndin er að þú gera við SQL á vissan hátt, en þú passa 296 00:14:36,150 --> 00:14:41,940 hvað notandi inntak með ákveðinn strengur. 297 00:14:41,940 --> 00:14:46,120 Svo leið þetta virkar er að þú undirbúa gagnagrunninn. 298 00:14:46,120 --> 00:14:50,830 Þú velur nafn, lit og hitaeiningar úr gagnagrunni sem kallast ávöxtum. 299 00:14:50,830 --> 00:14:53,580 Og þá hitaeiningar er þar minni en, og við setjum spurningarmerki þar 300 00:14:53,580 --> 00:14:56,530 segja að við erum að fara að inntak eitthvað í annað. 301 00:14:56,530 --> 00:14:58,850 >> Og lit jafnt og við setjum spurningu keppni að segja að við erum að fara að 302 00:14:58,850 --> 00:15:00,913 inntak eitthvað í annað eins vel. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 Og þá erum við að framkvæma það, setja í 150 og rauður. 305 00:15:09,920 --> 00:15:12,820 Og þetta mun athuga til að viss um að þessir tveir - 306 00:15:12,820 --> 00:15:15,300 Fylkið mun athuga að þessi tveir eru heiltala og 307 00:15:15,300 --> 00:15:16,550 að þetta er band. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Þá erum við að fara, og við ná allt, leggjum það í rauðu. 310 00:15:20,890 --> 00:15:21,964 Það þýðir að við ná allt. 311 00:15:21,964 --> 00:15:26,790 Það þýðir að við framkvæmum raun SQL yfirlýsingu og setja hana aftur í rauðu. 312 00:15:26,790 --> 00:15:30,530 Hér við að gera það sama, en við gera það sama fyrir gulu. 313 00:15:30,530 --> 00:15:32,490 Og við ná allt. 314 00:15:32,490 --> 00:15:36,140 >> Og á þennan hátt, koma í veg fyrir að við notandann frá því að vera fær um að inntak eitthvað 315 00:15:36,140 --> 00:15:41,710 það er ekki það sem við tilgreint, a band eða heiltala sem er, til dæmis. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Ég var að tala áðan um reiða sig á aðra. 318 00:15:46,610 --> 00:15:50,010 Þegar þú krakkar byrja verkefnið, þú ert mest ákveðið að fara að nota 319 00:15:50,010 --> 00:15:52,310 ræsi eða eitthvað svipað. 320 00:15:52,310 --> 00:15:53,490 Hefur þú krakkar alltaf notað Wordpress? 321 00:15:53,490 --> 00:15:57,170 Sennilega þú krakkar hafa notað Wordpress líklegast. 322 00:15:57,170 --> 00:16:00,050 Þannig að vandamálið með því að nota hlutir annarra - 323 00:16:00,050 --> 00:16:05,940 Ég ætla bara að fara að Google raunverulegur fljótur Wordpress varnarleysi. 324 00:16:05,940 --> 00:16:07,495 >> Ef ég draga þetta upp núna - 325 00:16:07,495 --> 00:16:08,995 Ég gerði bókstaflega tveggja annað Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Við sjáum að Wordpress - 328 00:16:13,800 --> 00:16:17,450 þetta er dagsett og september '12. 329 00:16:17,450 --> 00:16:19,120 26 er uppfærð. 330 00:16:19,120 --> 00:16:23,620 Sjálfgefin stilling af Wordpress áður 3,6 ekki í veg fyrir þessi 331 00:16:23,620 --> 00:16:27,110 ákveðin skrárnar, sem gæti gera það auðveldara fyrir 332 00:16:27,110 --> 00:16:29,790 kross-staður forskriftarþarfir árásum. 333 00:16:29,790 --> 00:16:34,530 Svo fljótur saga, þegar við vorum að vinna með - þannig að ég var í sumar, vinna að 334 00:16:34,530 --> 00:16:34,970 Starfsnám. 335 00:16:34,970 --> 00:16:40,400 Og við vorum að vinna með einhverskonar eins og stór greiðslukort fyrirtæki. 336 00:16:40,400 --> 00:16:42,020 >> Og þeir treysta á eitthvað sem kallast - 337 00:16:42,020 --> 00:16:45,740 Ég veit ekki hvort þið alltaf spilað með vöru sem heitir Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla er vara sem er notað til að Control - konar svipað 339 00:16:51,750 --> 00:16:54,340 Wordpress, notað til að byggja upp vefsíður. 340 00:16:54,340 --> 00:16:56,060 Þannig að þeir höfðu heimasíðu þeirra vinna á Joomla. 341 00:16:56,060 --> 00:16:59,290 Þetta er í raun kreditkort fyrirtæki í Kólumbíu. 342 00:16:59,290 --> 00:17:01,000 Ég tek þig til þeirra website raunverulegur fljótur. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Svo þeir nota Joomla. 345 00:17:05,400 --> 00:17:08,630 Og þeir höfðu ekki uppfært Joomla að nýjasta viðbótin. 346 00:17:08,630 --> 00:17:12,160 Og svo þegar við vorum að horfa á númer þeirra, við varúlfur fær til raunverulega 347 00:17:12,160 --> 00:17:18,430 fara inn númer þeirra og stela öllum greiðslukort sem þeir höfðu, 348 00:17:18,430 --> 00:17:21,670 allar kreditkortanúmer, nöfn, heimilisföng. 349 00:17:21,670 --> 00:17:22,740 Og þetta var bara - 350 00:17:22,740 --> 00:17:23,569 og númer þeirra var fullkomlega í lagi. 351 00:17:23,569 --> 00:17:24,710 Þeir höfðu mikla kóðann. 352 00:17:24,710 --> 00:17:25,389 Það var allt öryggi. 353 00:17:25,389 --> 00:17:26,520 Þeir athugað alla gagnagrunna. 354 00:17:26,520 --> 00:17:29,020 Þeir gerðu viss kross-staður forskriftarþarfir var fínn. 355 00:17:29,020 --> 00:17:34,390 >> En þeir nota eitthvað sem var ekki uppfærð, það var ekki örugg. 356 00:17:34,390 --> 00:17:36,940 Og svo sem leiddi þá til - svo þið eru örugglega að fara að nota aðra 357 00:17:36,940 --> 00:17:40,650 kóða, ramma fólks annarra að byggja upp vefsíðuna. 358 00:17:40,650 --> 00:17:43,860 Gakktu úr skugga um að þeir eru örugg því stundum er það ekki þú, sá sem 359 00:17:43,860 --> 00:17:44,480 gerir mistök. 360 00:17:44,480 --> 00:17:47,440 En einhver annar gerir mistök, og þá þú falla niður vegna þess. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Lykilorð og PII. 363 00:17:53,885 --> 00:17:56,820 Svo lykilorð. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Láta 'taka a líta á lykilorð raunverulegur fljótur. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Vinsamlegast segja mér að allir notar örugg - 369 00:18:06,520 --> 00:18:09,030 Ég vona að allir hér notar öruggt lykilorð. 370 00:18:09,030 --> 00:18:12,890 Ég ætla bara að láta það inn sem forsendu. 371 00:18:12,890 --> 00:18:14,850 Svo þú krakkar eru örugglega að fara að geyma lykilorð fyrir vefsíður þínar. 372 00:18:14,850 --> 00:18:17,440 Þú ert að fara að gera eitthvað eins og tenging eða eitthvað svoleiðis. 373 00:18:17,440 --> 00:18:19,610 Hvað er mikilvægt er að ekki geyma lykilorð í texta. 374 00:18:19,610 --> 00:18:20,860 Þetta er ákaflega mikilvægt. 375 00:18:20,860 --> 00:18:23,960 Þú vilt ekki að geyma lykilorð í texta. 376 00:18:23,960 --> 00:18:27,370 >> Og þú ákveðið að gera ekki raunverulega vilja að geyma það í einn veg kjötkássa. 377 00:18:27,370 --> 00:18:32,440 Svo hvað ein leið kjötkássa er að þegar þú búa til orð, þegar þú setur þetta 378 00:18:32,440 --> 00:18:36,200 orð í kjötkássa virka, mun það búa til baka einhverskonar dulinn 379 00:18:36,200 --> 00:18:39,390 skilaboð eða dulinn setja lykla. 380 00:18:39,390 --> 00:18:40,640 Ég skal sýna ykkur dæmi. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Ég ætla að kjötkássa þeir orð password1. 383 00:18:50,250 --> 00:18:55,280 Svo MD5 kjötkássa er að fara að skila mér einhverskonar undarlegt upplýsingum. 384 00:18:55,280 --> 00:18:59,140 >> Vandamálið er að fólk þarna úti sem eins og að fara inn í vefsíður hafa 385 00:18:59,140 --> 00:19:02,750 þegar mynstrağur út Raða af öllum MD5 kjötkássa. 386 00:19:02,750 --> 00:19:06,030 Hvað þeir gerðu er þeir settust niður á þeirra tölvur, og þeir kjötkássa hverjum 387 00:19:06,030 --> 00:19:09,660 einn kostur orð þarna úti fyrr en þeir fengu svoleiðis hvað þetta er. 388 00:19:09,660 --> 00:19:11,420 Ef ég væri að leita þetta upp - 389 00:19:11,420 --> 00:19:12,420 Ég greip bara þetta hass. 390 00:19:12,420 --> 00:19:14,120 Ef ég fæ þetta kjötkássa úr - 391 00:19:14,120 --> 00:19:17,470 ef ég fer inn á vefsíðu og ég finna þetta kjötkássa vegna þess að ég fá að 392 00:19:17,470 --> 00:19:24,100 gagnagrunna, og ég lít upp, einhver þegar mynstrağur það út fyrir mig. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Já. 395 00:19:29,100 --> 00:19:35,030 Svo fólk settist niður, og hvað sem md5 kjötkássa sem þú setur inn, þá eru þeir að fara að 396 00:19:35,030 --> 00:19:37,760 aftur til þín eitthvað sem er orð. 397 00:19:37,760 --> 00:19:39,800 Ef ég kjötkássa annað orð, eins og - 398 00:19:39,800 --> 00:19:42,410 Ég veit ekki - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Ég vil ekki vera fyrir vonbrigðum með Google leitum mínum. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Það er það, trees2. 403 00:19:52,780 --> 00:19:55,930 Svo mikið af vefsíðum enn nota MD5 kjötkássa. 404 00:19:55,930 --> 00:19:57,730 Þeir segja, ó, það er öruggt. 405 00:19:57,730 --> 00:19:58,570 Við erum ekki að geyma í látlaus texti. 406 00:19:58,570 --> 00:19:59,740 Við höfum þetta MD5 kjötkássa. 407 00:19:59,740 --> 00:20:01,880 Og allt sem ég þarf að gera er bara Google númerið. 408 00:20:01,880 --> 00:20:03,940 >> Ég er ekki einu sinni að reikna sjálfur. 409 00:20:03,940 --> 00:20:06,790 Ég get bara Google það, og einhver þegar gerði það fyrir mig. 410 00:20:06,790 --> 00:20:08,010 Hér er fullt af þeim. 411 00:20:08,010 --> 00:20:09,260 Hér er fullt af lykilorð. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Svo ákveðið ekki nota MD5 kjötkássa, því allt sem þú þarft að 414 00:20:18,680 --> 00:20:19,140 gera er Google það. 415 00:20:19,140 --> 00:20:20,390 Svo hvaða gera þú vilt nota í staðinn? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Eitthvað sem kallast söltun. 419 00:20:31,260 --> 00:20:32,460 Svo hvað söltun er - 420 00:20:32,460 --> 00:20:36,280 gera þú krakkar muna þegar við vorum tala um handahófi í - 421 00:20:36,280 --> 00:20:37,920 Ég er ekki viss um hvað pset það var - 422 00:20:37,920 --> 00:20:41,140 var það pset þar eða fjögur? 423 00:20:41,140 --> 00:20:45,150 >> Við vorum að tala um að finna nálin í Heysátan. 424 00:20:45,150 --> 00:20:48,480 Og í pset, sagði að það sem þú gætir raun að finna út hvað handahófi 425 00:20:48,480 --> 00:20:51,840 býr vegna þess að einhver er þegar hljóp handahófi milljón sinnum og bara 426 00:20:51,840 --> 00:20:53,230 konar myndast hvað þeir mynda. 427 00:20:53,230 --> 00:20:55,840 Það sem þú vilt gera er að setja í inntak. 428 00:20:55,840 --> 00:20:57,130 Svo er það sem söltun konar er. 429 00:20:57,130 --> 00:21:00,900 Þeir mynstrağur þegar út hvað söltun skilar fyrir hvert verk. 430 00:21:00,900 --> 00:21:04,750 >> Svo er það sem söltun er þú setur í salt. 431 00:21:04,750 --> 00:21:06,160 Þú setur í ákveðnu orði. 432 00:21:06,160 --> 00:21:09,720 Og það mun kjötkássa þessi orð eftir á hvað þú setur hérna. 433 00:21:09,720 --> 00:21:13,570 Svo ef ég kjötkássa lykilorð einn með þetta setningu, það er að fara að kjötkássa 434 00:21:13,570 --> 00:21:17,180 öðruvísi ef ég kjötkássa password1 með mismunandi setningu. 435 00:21:17,180 --> 00:21:21,670 Það gefur svona það einhvers staðar til byrja að hass til að byrja. 436 00:21:21,670 --> 00:21:25,970 Svo það er mikið erfiðara að reikna, en þú getur samt reikna það, sérstaklega 437 00:21:25,970 --> 00:21:26,830 ef þú notar slæmur salt. 438 00:21:26,830 --> 00:21:29,650 >> Fólk hefur nú þegar einnig mynstrağur út algengar sölt og mynstrağur út 439 00:21:29,650 --> 00:21:31,500 hvað sem það er. 440 00:21:31,500 --> 00:21:34,980 Handahófi sölt eru mun betri, en besta leiðin er að nota 441 00:21:34,980 --> 00:21:38,160 eitthvað sem kallast Crypt. 442 00:21:38,160 --> 00:21:40,480 Og hvað Crypt gerir þér kleift að gera - svo þessar aðgerðir eru 443 00:21:40,480 --> 00:21:41,820 þegar byggt fyrir þig. 444 00:21:41,820 --> 00:21:44,910 Margir gleyma því, eða þeir gleyma að nota það. 445 00:21:44,910 --> 00:21:54,520 En ef ég lít upp Crypt PHP, crypt þegar skilar kjötkássa streng fyrir mig. 446 00:21:54,520 --> 00:21:58,790 Og sölt raun það mörgum sinnum og kjötkássa það mörgum sinnum. 447 00:21:58,790 --> 00:22:00,070 >> Þannig að við þurfum ekki að gera þetta. 448 00:22:00,070 --> 00:22:04,790 Svo er allt sem þú þarft að gera senda það inn crypt. 449 00:22:04,790 --> 00:22:08,170 Og það mun skapa mikla kjötkássa án þú þurfa að hafa áhyggjur salt 450 00:22:08,170 --> 00:22:08,990 eða eitthvað. 451 00:22:08,990 --> 00:22:12,000 Vegna þess að ef þú varst að salta það, hefur þú að muna hvað salti sem þú notaðir 452 00:22:12,000 --> 00:22:13,800 því ef ekki, getur þú ekki fá þinn lykilorð til baka án þess að 453 00:22:13,800 --> 00:22:15,760 salt sem þú notaðir. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> Og einnig persónulega persónugreinanlegar upplýsingar. 457 00:22:23,150 --> 00:22:26,730 Svo almannatryggingar, greiðslukort - það er nokkuð augljóst. 458 00:22:26,730 --> 00:22:31,880 En stundum fólk gleyma því hvernig það verk er, hversu miklar upplýsingar þú 459 00:22:31,880 --> 00:22:35,690 reyndar þarf að finna einhvern mann? 460 00:22:35,690 --> 00:22:37,740 Einhver gerði rannsókn um þetta leið til baka. 461 00:22:37,740 --> 00:22:40,870 Og það var eins, ef þú ert með fullt nafn, getur þú ekki fundið 462 00:22:40,870 --> 00:22:41,610 einhver sem auðveldlega. 463 00:22:41,610 --> 00:22:43,900 En hvað ef þú ert með fullt nafn og dagsetning þeirra fæðingu? 464 00:22:43,900 --> 00:22:47,770 Er það nóg til að bera kennsl einhver sérstaklega? 465 00:22:47,770 --> 00:22:52,760 >> Hvað ef þú hefur nafn sitt og því götuheiti sem þeir lifa á? 466 00:22:52,760 --> 00:22:55,110 Er það nóg til að finna einhvern? 467 00:22:55,110 --> 00:23:02,490 Og það er þegar þeir spurning, hvað er persónulega persónugreinanlegar upplýsingar, og 468 00:23:02,490 --> 00:23:05,360 hvað ættir þú að hafa áhyggjur af ekki gefa burt? 469 00:23:05,360 --> 00:23:08,770 Ef þú gefur í burtu persónulega Þekkjast upplýsingar sem einhver gefur þér, 470 00:23:08,770 --> 00:23:11,420 þú gætir hugsanlega fá lögsótt. 471 00:23:11,420 --> 00:23:12,610 Og við ákveðið vil ekki. 472 00:23:12,610 --> 00:23:14,955 >> Svo þegar þú ert að setja vefsíðuna þína út, og þú hafa a raunverulega kaldur 473 00:23:14,955 --> 00:23:17,230 hönnun, vonandi þú gert ógnvekjandi lokaverkefni. 474 00:23:17,230 --> 00:23:18,370 Allir sem þú vilt svoleiðis til setja það þarna úti. 475 00:23:18,370 --> 00:23:21,420 Þú vilt tryggja að allt þú ert að taka frá notanda, ef það er 476 00:23:21,420 --> 00:23:25,310 persónulega persónugreinanlegar upplýsingar, þú vilja til að tryggja að þú ert að raunverulega 477 00:23:25,310 --> 00:23:26,560 varkár með það. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Shell innspýting. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Skel innspýting gerir Viktor að fá aðgang að raunverulegur stjórn lína þín 482 00:23:37,590 --> 00:23:39,660 á vefþjóninum þínum. 483 00:23:39,660 --> 00:23:44,060 Og svo er hann fær um að keyra kóða að þú getur ekki stjórnað. 484 00:23:44,060 --> 00:23:49,560 Skulum taka dæmi um þetta falleg band hérna. 485 00:23:49,560 --> 00:23:55,570 Ef við förum inn í the website aftur, ég er að fara inn í kóða innspýting. 486 00:23:55,570 --> 00:23:58,910 Og hvað er þetta gerir - 487 00:23:58,910 --> 00:24:00,420 það er líka það sem við vorum horfa á áður. 488 00:24:00,420 --> 00:24:11,200 Við erum að láta notandann setja í hvaða hann vill, og það mun prenta út 489 00:24:11,200 --> 00:24:12,220 hvað sem þú vilt. 490 00:24:12,220 --> 00:24:13,890 >> Þannig að ég ætla að setja símtal. 491 00:24:13,890 --> 00:24:15,540 Hvað þetta gerir er - 492 00:24:15,540 --> 00:24:16,940 það mun byrja á því að concatenating. 493 00:24:16,940 --> 00:24:19,520 Svo það mun láta mig keyra hvað stjórn gangi viðkomandi 494 00:24:19,520 --> 00:24:21,500 áður og stjórn mín. 495 00:24:21,500 --> 00:24:23,980 Og ég er að keyra kerfi stjórn. 496 00:24:23,980 --> 00:24:27,310 Og þessar síðustu strengir eru - muna það sem ég talaði við ykkur um, 497 00:24:27,310 --> 00:24:31,725 en þú þarft að umrita það í vefslóð aðferð. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Ef ég keyrt þetta núna - 500 00:24:36,992 --> 00:24:39,150 Ég skal sýna þér hérna - 501 00:24:39,150 --> 00:24:41,100 þú munt sjá að ég endaði upp keyra skipun. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Þetta er í raun í raun miðlara að vefsíðan mín er í gangi á. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Þannig að við viljum ekki að, því ég get keyrt - 506 00:24:58,510 --> 00:25:00,320 this framreiðslumaður er ekki mitt. 507 00:25:00,320 --> 00:25:04,030 Svo ég vil ekki að skipta sér upp hans systir, framreiðslumaður Marcus er. 508 00:25:04,030 --> 00:25:07,470 En þú getur keyrt fleiri skipanir sem eru hættulegar. 509 00:25:07,470 --> 00:25:11,885 Og hugsanlega gætir þú eytt skrár, fjarlægja framkvæmdarstjóra. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Ég er að fjarlægja ákveðna möppu ef Ég vildi, en ég vil ekki 512 00:25:17,970 --> 00:25:19,530 að gera það að Marcus. 513 00:25:19,530 --> 00:25:20,420 Hann er ágætur strákur. 514 00:25:20,420 --> 00:25:21,470 Hann lét mig taka lán miðlara sinn. 515 00:25:21,470 --> 00:25:24,620 Þannig að ég ætla að láta hann burt á kaup einn. 516 00:25:24,620 --> 00:25:32,280 >> Svo það sem við viljum ekki að nota - við gerum ekki vilt nota eval eða kerfi. 517 00:25:32,280 --> 00:25:34,755 Eval eða kerfi gerir okkur kleift að gera þessi kerfi kalla. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval þýðir meta. 520 00:25:38,410 --> 00:25:40,790 Kerfi þýðir það sem ég hljóp. 521 00:25:40,790 --> 00:25:42,490 Það er rekið eitthvað í kerfinu. 522 00:25:42,490 --> 00:25:46,730 En við getum útlaga þetta í PHP svo að við notum ekki þá. 523 00:25:46,730 --> 00:25:47,400 Og skrá hlaða. 524 00:25:47,400 --> 00:25:49,180 Ég ætlaði að gera ógnvekjandi hlutur með the skrá hlaða. 525 00:25:49,180 --> 00:25:52,740 En eins og ég sagði ykkur, minn skrá hlaða hlutur er ekki að virka. 526 00:25:52,740 --> 00:25:54,590 Ef ég væri að hlaða inn skrá núna - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 ef ég væri að hlaða inn skrá, og það er mynd - 529 00:26:00,830 --> 00:26:03,180 þú hefur hlaðið hlutur það er mynd. 530 00:26:03,180 --> 00:26:03,660 Það er allt í lagi. 531 00:26:03,660 --> 00:26:04,280 Ekkert gerist. 532 00:26:04,280 --> 00:26:10,840 >> En ef þú hefur hlaðið-skrá, Dæmi, og notandinn í raun skrárnar 533 00:26:10,840 --> 00:26:19,220 PHP skrá eða EXE skrá eða eitthvað svona, þá gætir þú hugsanlega 534 00:26:19,220 --> 00:26:19,740 hafa a vandamál. 535 00:26:19,740 --> 00:26:21,390 Þetta var að vinna áður. 536 00:26:21,390 --> 00:26:25,202 Því miður fyrir mig, það er ekki að virka lengur. 537 00:26:25,202 --> 00:26:30,230 Ef ég til dæmis hlaða þessari skrá, ég er ekki að fá leyfi til að senda inn 538 00:26:30,230 --> 00:26:33,400 skráin vegna þess að miðlara ekki vera minn. 539 00:26:33,400 --> 00:26:38,670 Svo er gaurinn virkilega klár. 540 00:26:38,670 --> 00:26:39,610 >> Þannig að við viljum ekki að - 541 00:26:39,610 --> 00:26:40,130 Ég ætla að sýna ykkur - 542 00:26:40,130 --> 00:26:41,840 OK, þessir ert sumir raunverulega kaldur verkfæri. 543 00:26:41,840 --> 00:26:45,100 Svo þessi - 544 00:26:45,100 --> 00:26:47,715 fara í - ef þið hafið Eldur - vonandi þú gerir. 545 00:26:47,715 --> 00:26:54,260 Það er tveir bæta við-ons sem kallast SQL Sprautið Ég og Cross-Site Script Me. 546 00:26:54,260 --> 00:26:56,870 Þeir opna eins lítið hlið bars á hlið. 547 00:26:56,870 --> 00:27:01,480 Og ef ég væri að fara að CS60 til dæmis - 548 00:27:01,480 --> 00:27:04,210 svo hvað það gerir er að það lítur fyrir öll eyðublöð sem - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 vonandi mun ég ekki fá í vandræðum fyrir þetta. 551 00:27:08,760 --> 00:27:09,190 >> En allt í lagi. 552 00:27:09,190 --> 00:27:12,600 Hér er pinna kerfi. 553 00:27:12,600 --> 00:27:18,946 Svo þegar ég byrja að leita að holur í kerfið, the fyrstur hlutur ég er 554 00:27:18,946 --> 00:27:21,820 opna upp þessa fallega litla tól á hlið. 555 00:27:21,820 --> 00:27:24,160 Og ég ætla að prófa eyðublöð með farartæki árás. 556 00:27:24,160 --> 00:27:28,510 Og svo hvað þetta gerir er það verður hægt opna upp fullt af vöfrum. 557 00:27:28,510 --> 00:27:29,930 Hér er fullt af vöfrum. 558 00:27:29,930 --> 00:27:33,320 Og það er að reyna hvert einasta samsetning kross-staður forskriftarþarfir 559 00:27:33,320 --> 00:27:37,380 að það hugsanlega er, ef þú sérð á hlið. 560 00:27:37,380 --> 00:27:42,080 >> Og það mun gefa mér niðurstöðu konar hvað svarið er. 561 00:27:42,080 --> 00:27:42,860 Standast allir. 562 00:27:42,860 --> 00:27:43,910 Vitanlega, fara þeir allir. 563 00:27:43,910 --> 00:27:46,190 Ég meina, þeir eru virkilega klár fólk þarna uppi. 564 00:27:46,190 --> 00:27:48,010 En ef ég væri að keyra - 565 00:27:48,010 --> 00:27:52,050 Ég hef átt sinnum áður þegar ég keyra þetta á nemenda lokaverkefnum. 566 00:27:52,050 --> 00:27:56,080 Ég keyrt einfaldlega SQL Sprautið mig með öll mismunandi árásir. 567 00:27:56,080 --> 00:28:00,080 Og það er að reyna að SQL sprauta þetta pinna miðlara. 568 00:28:00,080 --> 00:28:03,590 Svo ef við fletta niður, til dæmi, segir hann - 569 00:28:03,590 --> 00:28:04,960 þetta er gott ef það skilar. 570 00:28:04,960 --> 00:28:08,250 >> Svo það prófað nokkrar ákveðinna gilda. 571 00:28:08,250 --> 00:28:11,170 Og miðlara skilaði númer sem var neikvæð. 572 00:28:11,170 --> 00:28:11,780 Fjarlægja tímabundið. 573 00:28:11,780 --> 00:28:13,030 Þetta er gott. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Það reynir öll þessi próf. 576 00:28:20,750 --> 00:28:21,790 Svo að þú gætir einfaldlega hlaupa - 577 00:28:21,790 --> 00:28:27,860 Ég vildi að ég gæti fundið heimasíðu raunveruleg fljótur sem myndi láta mig - 578 00:28:27,860 --> 00:28:29,110 kannski CS50 geyma. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Vá, þetta er að fara að taka allt of langan tíma. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Ég læt fyrsta próf ekki að klára rétt. 583 00:28:55,130 --> 00:28:57,330 Svo það er að kvarta. 584 00:28:57,330 --> 00:28:58,470 Svo að þetta eru þrír hlutir. 585 00:28:58,470 --> 00:29:00,430 Þessi verkfæri eru ókeypis. 586 00:29:00,430 --> 00:29:03,960 Þú getur sótt þá og keyra þá á vefsvæðið þitt, og það mun segja þér ef 587 00:29:03,960 --> 00:29:06,650 þú hafa kross-staður forskriftarþarfir ef þú ert SQL, ef þú hefur 588 00:29:06,650 --> 00:29:07,900 eitthvað af því um líkt. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Ég er tegund af Messías upp. 591 00:29:14,500 --> 00:29:15,550 >> Hvað er mikilvægt - 592 00:29:15,550 --> 00:29:17,900 OK, svo aldrei treysta notandi. 593 00:29:17,900 --> 00:29:21,920 Whatever notandi inntak til þín, gera viss um að þú sótthreinsa það, þú að hreinsa það, 594 00:29:21,920 --> 00:29:25,300 þú stöðva fyrir rétta hluti, að það er að gefa þér hvað þú 595 00:29:25,300 --> 00:29:28,240 langar hann að gefa þér. 596 00:29:28,240 --> 00:29:32,460 Alltaf að vera uppfærð á hvað ramma að þú ert í raun að nota. 597 00:29:32,460 --> 00:29:34,630 Ef þú notar eitthvað eins ræsi - 598 00:29:34,630 --> 00:29:36,340 Ég veit að þú krakkar ert að fara að nota ræsi vegna þess að hann er að fara að fara 599 00:29:36,340 --> 00:29:38,140 yfir þetta fljótlega í bekknum - 600 00:29:38,140 --> 00:29:43,120 og Wordpress eða eitthvað svoleiðis, venjulega þetta gæti verið tölvusnápur. 601 00:29:43,120 --> 00:29:44,770 >> Og þá getur þú ekki einu sinni vita. 602 00:29:44,770 --> 00:29:45,800 Þú ert bara að keyra á vefsvæðið þitt. 603 00:29:45,800 --> 00:29:47,360 Og það er algerlega örugg. 604 00:29:47,360 --> 00:29:51,730 Og þú ferð niður. 605 00:29:51,730 --> 00:29:54,000 Þannig að ég ætla að veiða virkilega snemma. 606 00:29:54,000 --> 00:29:55,770 En ég vil þakka Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Ég ætla að sýna ykkur eitthvað heitir Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Ef þú krakkar eru í raun áhuga á hvaða öryggi er í raun, það er 609 00:30:05,000 --> 00:30:07,300 website gestur Pentest Labs ef þú krakkar fara að því núna. 610 00:30:07,300 --> 00:30:10,730 Ó, jæja, það er það ekki. 611 00:30:10,730 --> 00:30:12,030 Ég ætla bara að fara að keyra þetta svona. 612 00:30:12,030 --> 00:30:14,400 Google segir mér svarið. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 Og það kennir nota þig - þannig að það segir, að læra vefur skarpskyggni 615 00:30:19,030 --> 00:30:21,060 prófa á réttan hátt. 616 00:30:21,060 --> 00:30:23,650 Það kennir þér - 617 00:30:23,650 --> 00:30:25,150 vonandi, þú ert siðferðilega manneskja. 618 00:30:25,150 --> 00:30:29,200 En það kennir þér hvernig þú getur litið á hvernig er hægt að fá inni vefsíður. 619 00:30:29,200 --> 00:30:31,130 Og ef þú læra hvernig þú getur fengið inni vefsíður, getur þú lært hvernig á að 620 00:30:31,130 --> 00:30:34,960 vernda sjálfur frá getting Inni vefsíður. 621 00:30:34,960 --> 00:30:39,100 Leyfðu mér að súmma inn því kannski þú krakkar eru ekki að leita á þennan rétt. 622 00:30:39,100 --> 00:30:46,350 >> Frá SQL innspýting að leggja, svo Raða um hvernig ég get fengið úr SQL 623 00:30:46,350 --> 00:30:48,530 inndælingar til að skel. 624 00:30:48,530 --> 00:30:53,890 Og þú sækja þessa raunverulegur vél. 625 00:30:53,890 --> 00:30:55,690 Og the raunverulegur vél kemur þegar með heimasíðu sem þú ert 626 00:30:55,690 --> 00:30:56,780 að fara að reyna það á. 627 00:30:56,780 --> 00:30:58,030 Þú sækir þennan PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 Og það mun sýna þér línu fyrir línu hvað þú þarft að gera, það sem þú skoðar. 630 00:31:08,370 --> 00:31:14,560 Þetta er það sem árásarmaður raun er að fá inni á vefsíðu. 631 00:31:14,560 --> 00:31:15,750 >> Og sumt af þessu efni er flókið. 632 00:31:15,750 --> 00:31:17,520 Ég vildi að ég gæti farið yfir fleiri hluti með ykkur. 633 00:31:17,520 --> 00:31:21,090 En ég óttast að þú krakkar hafa í raun ekki - 634 00:31:21,090 --> 00:31:23,090 þetta er það sem ég fór yfir með þú krakkar, prófanir vefur 635 00:31:23,090 --> 00:31:26,830 fyrir skarpskyggni próf. 636 00:31:26,830 --> 00:31:33,540 Í raun ekki vita hvað SQL er og hvað - 637 00:31:33,540 --> 00:31:35,960 Málstofa Carl Jackson er ógnvekjandi eins og heilbrigður. 638 00:31:35,960 --> 00:31:37,360 Þú krakkar veist ekki svoleiðis hvað þetta er. 639 00:31:37,360 --> 00:31:39,450 En ef þú ferð á þessa vefsíðu, og þú sækja þessa námskeið og þessir 640 00:31:39,450 --> 00:31:43,290 PDFs, getur þú taka a líta á konar hvað á sviði öryggis raunverulega hjartarskinn 641 00:31:43,290 --> 00:31:46,940 í skarpskyggni próf, sjá hvernig þú getur Fá inni vefsíður og vernda 642 00:31:46,940 --> 00:31:48,020 sjálfur frá því. 643 00:31:48,020 --> 00:31:56,360 >> Þannig að ef ég geri frábær fljótur yfirlit, það verður að koma í veg kross-staður forskriftarþarfir. 644 00:31:56,360 --> 00:32:00,160 Þú vilt nota htmlspecialchars hverjum sinn sem notandi inntak eitthvað. 645 00:32:00,160 --> 00:32:01,580 Hindra SQL innspýting. 646 00:32:01,580 --> 00:32:04,510 Ef þú gerir það, þú ert nú þegar betur en Harvard var 647 00:32:04,510 --> 00:32:06,530 þegar þeir fengu brotið. 648 00:32:06,530 --> 00:32:10,510 Og ganga úr skugga um lykilorð eru ekki í látlaus texti. 649 00:32:10,510 --> 00:32:16,220 Gakktu úr skugga um að þú ekki bara ein leið kjötkássa þá heldur að þú notar crypt, PHP 650 00:32:16,220 --> 00:32:18,670 virka sem ég sýndi ykkur. 651 00:32:18,670 --> 00:32:20,060 Þannig ættir þú að vera góður. 652 00:32:20,060 --> 00:32:25,830 >> Einnig, ef vinir þínir láta þig, hlaupa SQL Sprautið mér á vefsíðum sínum. 653 00:32:25,830 --> 00:32:28,140 Hlaupa kross-staður forskriftarþarfir á vefsíðum sínum. 654 00:32:28,140 --> 00:32:33,720 Og þú munt sjá a einhver fjöldi af þessum vefsíðum hafa tonn af veikleika. 655 00:32:33,720 --> 00:32:40,400 Það er ótrúlegt hversu mikið fólk gleyma að sótthreinsa gagnagrunna þeirra eða til að gera 656 00:32:40,400 --> 00:32:46,340 viss hvað Inputting viðkomandi er ekki handrit kóða. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Ég endaði konar virkilega snemma. 659 00:32:49,182 --> 00:32:56,510 En ef einhver hefur einhverjar spurningar um eitthvað, getur þú skjóta mig spurningar. 660 00:32:56,510 --> 00:32:56,630 Já. 661 00:32:56,630 --> 00:32:56,970 Fara, fara. 662 00:32:56,970 --> 00:32:59,846 >> Áhorfendur: Ég vil bara að spyrja, getur þú útskýrt hvernig skrá 663 00:32:59,846 --> 00:33:03,160 hlaða nákvæmlega verk. 664 00:33:03,160 --> 00:33:03,480 >> Luciano Arango: Já. 665 00:33:03,480 --> 00:33:06,350 Svo láta mig sýna þér skránna hlaða raunverulegur fljótur. 666 00:33:06,350 --> 00:33:11,300 Svo skrá hlaða - 667 00:33:11,300 --> 00:33:14,500 vandamálið vitsmuni skrá senda núna er að - 668 00:33:14,500 --> 00:33:18,541 Ég ætla að opna kóðann Svo þú krakkar sjá kóðann á bak við tjöldin. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 Og það er að senda inn. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Hér er númer fyrir skrá Upphlaðarann. 673 00:33:31,560 --> 00:33:33,980 >> Við erum að reyna að fara inn á þetta Listinn hérna. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 Og við erum að reyna að, þegar við inntak skrá, isset skrá - svo þegar það er 676 00:33:44,880 --> 00:33:50,900 skrá í skrám, þessi mynd, þá við að reyna að færa það hér. 677 00:33:50,900 --> 00:33:51,910 Við grípa skrá hérna. 678 00:33:51,910 --> 00:33:58,350 Aðferðin er POST, tegund, mynd eða skrá. 679 00:33:58,350 --> 00:33:59,630 Og við erum að senda þessa skrá. 680 00:33:59,630 --> 00:34:03,910 Og svo þegar við fáum það, svo þegar skrá hefur mynd, við erum að reyna að senda það 681 00:34:03,910 --> 00:34:05,060 í þessa skrá. 682 00:34:05,060 --> 00:34:09,814 >> Vandamálið er þessi the website er ekki láta mig fara í þessa möppu, 683 00:34:09,814 --> 00:34:12,239 vegna þess að það vill ekki að ég fari aftur. 684 00:34:12,239 --> 00:34:13,489 Það vill ekki að ég fari - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Ég verð að fara - svo hér er hlaðið. 687 00:34:17,070 --> 00:34:17,639 Hér er myndir. 688 00:34:17,639 --> 00:34:21,780 Ég verð að fara alla leið aftur til hefst og setja það í þar og þá 689 00:34:21,780 --> 00:34:23,820 fara og setja það inn í möppuna. 690 00:34:23,820 --> 00:34:30,000 Þannig að ef ég var að keyra a umferðamiðstöð gluggi, og ég vildi til að færa skrá - 691 00:34:30,000 --> 00:34:30,409 [Inaudible] 692 00:34:30,409 --> 00:34:32,159 getur séð það. 693 00:34:32,159 --> 00:34:37,940 Ef ég vildi færa skrá, ég hef að setja skrá nafn og þá 694 00:34:37,940 --> 00:34:40,860 heill gangstígur Mig langar að senda það til. 695 00:34:40,860 --> 00:34:45,110 >> Og þá er miðlarinn ekki láta mig fara til baka. 696 00:34:45,110 --> 00:34:46,929 Og svo það er ekki að láta mig fá til að skrá. 697 00:34:46,929 --> 00:34:47,670 En venjulega - 698 00:34:47,670 --> 00:34:49,360 svo er það númer fyrir hlaða upp. 699 00:34:49,360 --> 00:34:52,260 Svo venjulega það mun gerast er að maður er ekki að stöðva ef minn skrá 700 00:34:52,260 --> 00:34:57,920 endar með. JPEG, þannig að ég myndi vilja til að athuga. 701 00:34:57,920 --> 00:35:00,054 Leyfðu mér að opna dæmi of raunverulegur fljótur. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Þessi manneskja rétt - 705 00:35:09,230 --> 00:35:11,980 svo dæmi tvö er að haka ef preg_match - 706 00:35:11,980 --> 00:35:14,180 hér er það aftur hér - 707 00:35:14,180 --> 00:35:19,660 að ganga úr skugga um að endar með PHP, sem er gott. 708 00:35:19,660 --> 00:35:20,580 Þetta er gott. 709 00:35:20,580 --> 00:35:22,820 En það er alvöru stór vandamálið við þetta. 710 00:35:22,820 --> 00:35:24,600 Þetta er gott. 711 00:35:24,600 --> 00:35:44,190 En ef ég væri að setja skrá sem heitir myfavoritepicture.php.jpeg, ég gat 712 00:35:44,190 --> 00:35:50,060 enn hugsanlega að losna við JPEG og hlaupa it.k að PHP er hættulegt. 713 00:35:50,060 --> 00:35:53,850 Þú vilt ekki að maður á að vera fær um til að keyra kóðann á vefsvæðið þitt. 714 00:35:53,850 --> 00:35:55,750 >> En þá. Jpeg lætur það fara framhjá. 715 00:35:55,750 --> 00:36:00,720 Hugmyndin er það sem þú vilt í raun að gera er ekki að taka skrár, A. En, OK, hvað 716 00:36:00,720 --> 00:36:07,500 þú vilt virkilega að gera er að ganga úr skugga um að þú lest yfir allan heiminn. 717 00:36:07,500 --> 00:36:08,720 Og það er ekkert. PHP í henni. 718 00:36:08,720 --> 00:36:10,500 Það er engin. PHP í heild skrá nafn. 719 00:36:10,500 --> 00:36:12,780 >> Áhorfendur: En þú gætir setja. JPEG á enda. 720 00:36:12,780 --> 00:36:15,830 Netþjónum hlaupa enn kóðann. 721 00:36:15,830 --> 00:36:16,870 >> Luciano Arango: Nei, það verður ekki hlaupa í upphafi. 722 00:36:16,870 --> 00:36:22,310 Þú þarft að fara til baka og reyna til að sjá hvort þú getur - 723 00:36:22,310 --> 00:36:24,210 >> Áhorfendur: Þannig að við verðum að - 724 00:36:24,210 --> 00:36:26,020 OK, bara annað sett sem felur - 725 00:36:26,020 --> 00:36:26,936 >> Luciano Arango: Já. 726 00:36:26,936 --> 00:36:29,230 >> Áhorfendur: OK. 727 00:36:29,230 --> 00:36:31,486 >> Luciano Arango: Já. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Aðrar spurningar? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Ég ætla að hafa þetta allt og raða af að reyna að sjá hvort þið getið - 732 00:36:37,350 --> 00:36:40,490 hinar eru svolítið meira flókið vegna þess að þeir þurfa mikið 733 00:36:40,490 --> 00:36:44,050 meiri þekkingu á SQL en bara upphafi þekkingu Vefur SQL er og 734 00:36:44,050 --> 00:36:47,010 hvað JavaScript er. 735 00:36:47,010 --> 00:36:49,730 En ég ætla að reyna að halda þetta upp, og vonandi þú krakkar vilja læra 736 00:36:49,730 --> 00:36:53,230 um þetta og reyna að taka gægjast á hvað þú getur gert og hversu mörg dæmi 737 00:36:53,230 --> 00:36:54,420 þú kemst í gegnum. 738 00:36:54,420 --> 00:36:56,020 >> Einhver hefur einhverjar aðrar spurningar um það? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Fara á undan. 741 00:37:00,350 --> 00:37:01,170 Já, skjóta, skjóta. 742 00:37:01,170 --> 00:37:01,580 Já, fara fram í tímann. 743 00:37:01,580 --> 00:37:01,850 Fara á undan. 744 00:37:01,850 --> 00:37:02,310 >> Áhorfendur: OK. 745 00:37:02,310 --> 00:37:08,870 Svo heyrði ég um hvernig Magic Quotes eru ekki nógu öruggt. 746 00:37:08,870 --> 00:37:09,280 >> Luciano Arango: Hvað - 747 00:37:09,280 --> 00:37:10,110 Galdur vitna í? 748 00:37:10,110 --> 00:37:10,595 >> Áhorfendur: Já. 749 00:37:10,595 --> 00:37:15,445 Svo það bætir - svo þegar þú inntak eitthvað, bætir það alltaf vitna. 750 00:37:15,445 --> 00:37:15,930 >> Luciano Arango: Já. 751 00:37:15,930 --> 00:37:16,000 Já. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> Áhorfendur: Og svo ég þó að unnið, en ég leitaði það upp. 754 00:37:19,113 --> 00:37:21,648 Og hann sagði að það er ekki gott. 755 00:37:21,648 --> 00:37:23,050 En ég er ekki viss hvers vegna. 756 00:37:23,050 --> 00:37:23,360 >> Luciano Arango: Já. 757 00:37:23,360 --> 00:37:26,240 >> Áhorfendur: Ekki nota Magic Quotes, því það er ekki öruggt. 758 00:37:26,240 --> 00:37:26,360 >> Luciano Arango: OK. 759 00:37:26,360 --> 00:37:31,735 Svo Magic Quotes er þegar þú setja SQL og það bætir nú þegar tilboð fyrir þig. 760 00:37:31,735 --> 00:37:33,520 >> Áhorfendur: Það bætir alltaf vitna um hvað þú setur inn 761 00:37:33,520 --> 00:37:34,210 >> Luciano Arango: Já. 762 00:37:34,210 --> 00:37:37,190 Þannig að vandamálið með það er að - 763 00:37:37,190 --> 00:37:38,445 Ég tek að líta á - 764 00:37:38,445 --> 00:37:41,390 >> Áhorfendur: Hvernig virkar það eignast SQL staðhæfing? 765 00:37:41,390 --> 00:37:44,690 Eða ég giska á það gæti verið eins vitna velja. 766 00:37:44,690 --> 00:37:49,030 >> Luciano Arango: Já, þú þarft góðar tilvitnanir fyrir SQL. 767 00:37:49,030 --> 00:37:52,900 >> Áhorfendur: Nei, en þjóninn gerir það fyrir þig. 768 00:37:52,900 --> 00:37:54,460 >> Luciano Arango: Þessar litlu vitna hérna, þessi litlu vitna? 769 00:37:54,460 --> 00:37:55,670 >> Áhorfendur: Já. 770 00:37:55,670 --> 00:37:56,450 >> Luciano Arango: Já. 771 00:37:56,450 --> 00:37:59,860 Vandamálið er að þú getur athugasemd út síðasta - 772 00:37:59,860 --> 00:38:05,770 OK, svo það sem ég get gert er að ég get comment út - þannig að við skulum kíkja á - láta mig 773 00:38:05,770 --> 00:38:07,920 opna Texti Breyta skrá. 774 00:38:07,920 --> 00:38:09,610 Leyfðu mér að breyta bara þetta hérna beint. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Getur þú krakkar sjá að skýrt? 778 00:38:23,710 --> 00:38:29,730 Hvað ég get gert er að ég get comment út og það síðasta. 779 00:38:29,730 --> 00:38:32,190 Þetta mun comment út það síðasta. 780 00:38:32,190 --> 00:38:36,760 Og svo ég setti hann hér, setja allt illgjarn efni hér. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Svo er notandinn í raun inputting, ekki satt? 783 00:38:42,630 --> 00:38:45,230 Notandinn er ekki inputting hlutir, ekki satt? 784 00:38:45,230 --> 00:38:47,430 Þetta er það sem ég ætla að inntak sem sá að reyna að fá inni. 785 00:38:47,430 --> 00:38:49,430 Ég ætla að setja í - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 það er ein tilvitnun merkja. 788 00:39:00,180 --> 00:39:01,760 Það er bara hlykkjóttu fyrir mistök. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 Og þá hvað númerið er að fara að gera - 791 00:39:19,400 --> 00:39:20,190 Því miður, ég ætla að taka þetta út. 792 00:39:20,190 --> 00:39:22,170 Hvað númerið er að fara að gera er að það er að fara að bæta við fyrsta 793 00:39:22,170 --> 00:39:24,030 gæsalappa hér. 794 00:39:24,030 --> 00:39:26,040 Og það er að fara að bæta við síðasta Gæsalappir eins og heilbrigður. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> Og það er líka að fara að bæta við síðast, síðasta Gæsalappir. 797 00:39:33,270 --> 00:39:37,380 En ég er að tjá þessa tilvitnun markar út, svo þeir keyri ekki. 798 00:39:37,380 --> 00:39:41,440 Og ég er að klára þessa tilvitnun merkja hérna. 799 00:39:41,440 --> 00:39:42,290 Skilur þú? 800 00:39:42,290 --> 00:39:43,750 Ert þú tapað? 801 00:39:43,750 --> 00:39:45,880 Ég get comment síðasta tilvitnun árangur, og gæta að 802 00:39:45,880 --> 00:39:46,680 Fyrsta tilvitnun merkja. 803 00:39:46,680 --> 00:39:47,350 >> Áhorfendur: Og bara ljúka sá fyrsti. 804 00:39:47,350 --> 00:39:47,480 >> Luciano Arango: Já. 805 00:39:47,480 --> 00:39:48,400 Og bara að klára það fyrsta. 806 00:39:48,400 --> 00:39:48,790 Já, það er rétt. 807 00:39:48,790 --> 00:39:50,800 Það er það sem ég get gert. 808 00:39:50,800 --> 00:39:51,890 Já. 809 00:39:51,890 --> 00:39:52,980 Aðrar spurningar eins og þessi? 810 00:39:52,980 --> 00:39:54,230 Þetta er frábær spurning. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Nei, já, kannski. 813 00:39:59,790 --> 00:40:06,150 Vonandi þú krakkar vilja svoleiðis gera meira vit þegar þú læra SQL og 814 00:40:06,150 --> 00:40:06,650 svoleidis. 815 00:40:06,650 --> 00:40:07,980 En vertu viss um að - 816 00:40:07,980 --> 00:40:10,340 halda þessum tækjum í horfa. 817 00:40:10,340 --> 00:40:12,760 Því miður, þessi verkfæri hérna. 818 00:40:12,760 --> 00:40:14,200 Þessi verkfæri eru frábær. 819 00:40:14,200 --> 00:40:17,190 Ef einhver hefur einhverjar spurningar, þú getur líka sent póst á mig. 820 00:40:17,190 --> 00:40:19,020 Þetta er eðlilegt netfangið mitt. 821 00:40:19,020 --> 00:40:25,015 Og þetta er vinna netfangið mitt, sem er þegar ég vinn á sjó. 822 00:40:25,015 --> 00:40:26,040 >> OK, takk. 823 00:40:26,040 --> 00:40:26,740 Takk, strákar. 824 00:40:26,740 --> 00:40:27,860 Þú ert góður til fara. 825 00:40:27,860 --> 00:40:28,830 Þú þarft ekki að vera hér. 826 00:40:28,830 --> 00:40:29,570 Ekki klappa. 827 00:40:29,570 --> 00:40:30,170 Það er undarlegt. 828 00:40:30,170 --> 00:40:31,420 OK, takk, krakkar. 829 00:40:31,420 --> 00:40:32,320