1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> ЛУЧАНО Аранго: Добро, момци. 3 00:00:10,300 --> 00:00:11,550 Моето име е Лучијано Аранго. 4 00:00:11,550 --> 00:00:13,915 Јас сум сафомор во Адамс куќа. 5 00:00:13,915 --> 00:00:17,550 И ние ќе се зборува за Веб безбедност активна одбрана. 6 00:00:17,550 --> 00:00:24,220 Па јас работам за Канцеларијата на информации Безбедноста во морињата. 7 00:00:24,220 --> 00:00:28,670 И во текот на летото, јас интерниран во SeguraTec, кој беше информации 8 00:00:28,670 --> 00:00:31,310 безбедноста компанија која служи за Банката на Колумбија. 9 00:00:31,310 --> 00:00:34,740 Тоа е претежно каде што научив она што сум го научиле досега. 10 00:00:34,740 --> 00:00:37,990 >> И така некои од материјалот што ние сме одам да си над денес, ние не треба 11 00:00:37,990 --> 00:00:39,670 навистина разговаравме за во класата. 12 00:00:39,670 --> 00:00:40,410 Но, ние ќе наскоро. 13 00:00:40,410 --> 00:00:42,360 Тоа се случува да биде како SQL, го вклучите Javascript-. 14 00:00:42,360 --> 00:00:44,870 И ние не се навистина помина над неа. 15 00:00:44,870 --> 00:00:47,730 Па јас може да го решите на летање низ неа, и Вие не може да знаете некои работи. 16 00:00:47,730 --> 00:00:48,890 Но, наскоро, ќе го научат. 17 00:00:48,890 --> 00:00:52,080 И сето тоа ќе има смисла. 18 00:00:52,080 --> 00:00:54,010 Исто така уште една работа - 19 00:00:54,010 --> 00:00:55,780 остане етички. 20 00:00:55,780 --> 00:01:00,560 Некои од работите што го учат, ќе може да се користи во не-етички начини. 21 00:01:00,560 --> 00:01:01,950 >> Ако тоа е твое, дефинитивно се обидеме. 22 00:01:01,950 --> 00:01:04,500 Јас дефинитивно ве мотивира момците да се обиде свој сервери, обидете се 23 00:01:04,500 --> 00:01:05,519 ќе внатре во нив. 24 00:01:05,519 --> 00:01:08,500 Види дали може да им се проникне, ако може да се добијат во нив. 25 00:01:08,500 --> 00:01:09,560 Но не некој друг. 26 00:01:09,560 --> 00:01:12,390 Полицајци не навистина ми се допаѓа шеги и Во целина, ќе стави ова овде. 27 00:01:12,390 --> 00:01:14,040 Бевме Месинг наоколу. 28 00:01:14,040 --> 00:01:15,780 Тие се навистина лути. 29 00:01:15,780 --> 00:01:18,700 >> Така да минете во текот на оваа веб страна. 30 00:01:18,700 --> 00:01:23,560 Јас го отвори токму тука. 31 00:01:23,560 --> 00:01:26,780 Ова е веб-сајт, и тоа има еден куп примери. 32 00:01:26,780 --> 00:01:30,000 Што се случува е дека првиот пример е вид на ќе биде многу полесно 33 00:01:30,000 --> 00:01:33,470 од последниот пример во смисла дека првиот пример 34 00:01:33,470 --> 00:01:34,970 е сосема несигурни. 35 00:01:34,970 --> 00:01:40,850 А последната е вид на она што нормално веб безбедност лице ќе се направи. 36 00:01:40,850 --> 00:01:42,760 Но може да се уште вид на се добие околу тоа. 37 00:01:42,760 --> 00:01:44,860 И ние ќе се фокусира на една и две, примери еден и два. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Да почнеме со крос-сајт скриптирање. 41 00:01:52,780 --> 00:01:56,100 Го вклучите Javascript-се работи на прелистувачот на клиентот. 42 00:01:56,100 --> 00:01:59,980 Тоа е програмски јазик кој не го користите да се кандидира на прелистувачот на клиентот, па 43 00:01:59,980 --> 00:02:04,120 вие не мора да се ажурира на веб страната и се врати на серверот. 44 00:02:04,120 --> 00:02:04,940 Имате тоа трчање. 45 00:02:04,940 --> 00:02:08,870 На пример, Фејсбук, вие не мора да ја превчитате на веб страната за новиот статус 46 00:02:08,870 --> 00:02:09,710 надградби да излезе. 47 00:02:09,710 --> 00:02:12,170 Тоа е користење на JavaScript за да генерирате сите овие работи. 48 00:02:12,170 --> 00:02:16,290 За да можеме да се инјектираат злонамерен го вклучите Javascript- во веб-сајтови. 49 00:02:16,290 --> 00:02:20,890 И на тој начин, кога ќе испрати линк до некого, ние вид на може да го испрати со 50 00:02:20,890 --> 00:02:23,050 некои од кодот што го сакаме. 51 00:02:23,050 --> 00:02:26,450 >> Има упорни и непостојана Го вклучите Javascript - 52 00:02:26,450 --> 00:02:30,640 упорни и непостојана крос-сајт скриптирање, мислам. 53 00:02:30,640 --> 00:02:33,760 И разликата е во тоа што упорно е да го вклучите Javascript кои ќе бидат 54 00:02:33,760 --> 00:02:36,060 зачувани на веб-сајтот. 55 00:02:36,060 --> 00:02:39,780 И непостојана ќе биде вклучите Javascript- кои, всушност, само ќе се случи еднаш. 56 00:02:39,780 --> 00:02:41,795 Па ајде да погледнеме еден пример вистински брз. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Па оваа веб страна, едноставно, ништо не се случува тука. 60 00:02:51,620 --> 00:02:53,070 И ние ќе се обидеме да вметнете некои JavaScript. 61 00:02:53,070 --> 00:02:58,110 Па начинот на кој ние на проектот пишување го вклучите Javascript- е да почнеме со почеток скрипта. 62 00:02:58,110 --> 00:03:00,570 И ние го затвори со сценариото. 63 00:03:00,570 --> 00:03:03,770 Ние сме едноставно случува да се стави порака - 64 00:03:03,770 --> 00:03:05,410 Јас ќе ви покаже - 65 00:03:05,410 --> 00:03:06,500 алармирање. 66 00:03:06,500 --> 00:03:11,150 Алармирање е функција која го вклучите Javascript- користи за да се прикаже нешто. 67 00:03:11,150 --> 00:03:12,400 Па ајде да се обидеме вистински брз. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Одам да одат, предупредување здраво. 70 00:03:18,944 --> 00:03:20,400 Па, јас заборавив да се стави - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Па тоа е едноставна. 74 00:03:26,540 --> 00:03:28,730 >> Ќе стави го вклучите Javascript-на веб страната, и дојде до. 75 00:03:28,730 --> 00:03:31,200 И тоа вид на се случува само на нашата веб страница, нели? 76 00:03:31,200 --> 00:03:33,040 Па ми се чини дека тоа не е проблем, нели? 77 00:03:33,040 --> 00:03:34,920 Мислам, како би можеле да ги користите ова злобно? 78 00:03:34,920 --> 00:03:39,930 Па начинот на кој хакери направам ова е навистина едноставно. 79 00:03:39,930 --> 00:03:40,970 Тие се случува да го грабне. 80 00:03:40,970 --> 00:03:43,750 Тие можат да испрати овој линк за вас. 81 00:03:43,750 --> 00:03:46,780 Дали јас ќе испрати овој линк за да ви токму сега, и ќе ја отвори, тоа се случува да 82 00:03:46,780 --> 00:03:51,620 велат, здраво, велејќи дека мојот веб-сајт е ти го кажувам здраво. 83 00:03:51,620 --> 00:03:57,280 >> И така, ако јас се да се каже нешто малку попаметен, ако јас се повлече до 84 00:03:57,280 --> 00:03:59,880 Функција го вклучите Javascript јас вид на веќе пишуваше - 85 00:03:59,880 --> 00:04:03,940 но ако се погледне во него, јас ќе одам над неа пред да го напишал. 86 00:04:03,940 --> 00:04:06,650 Па ние ќе да се постави завршиле. 87 00:04:06,650 --> 00:04:08,450 Ние ќе се чека неколку секунди. 88 00:04:08,450 --> 00:04:13,970 Всушност, ние ќе треба да почека за, ако Не се лажам, пет секунди. 89 00:04:13,970 --> 00:04:15,870 Ова оди во милисекунди. 90 00:04:15,870 --> 00:04:18,640 А потоа она што ние ќе треба да направите е ние сме ќе се алармираат дека за логирање 91 00:04:18,640 --> 00:04:21,459 истече да се најавите назад внатре 92 00:04:21,459 --> 00:04:23,990 И ние ќе ја промени локацијата на друга локација. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Значи, ако го праќам овој веб-сајт со некого, тие се случува да биде 95 00:04:32,970 --> 00:04:34,380 разгледуваат наоколу, смиреност. 96 00:04:34,380 --> 00:04:35,650 Ништо не се случува. 97 00:04:35,650 --> 00:04:38,550 И во пет секунди, тоа се случува да се каже, вашиот логин истече. 98 00:04:38,550 --> 00:04:40,200 Ве молиме најавете се назад внатре 99 00:04:40,200 --> 00:04:43,400 Откако ќе кликнете на OK, јас ќе одам да да ги однесе до друг веб-сајт. 100 00:04:43,400 --> 00:04:45,980 Веројатно, на веб-сајтот се случува да биде слична на веб-сајт кој 101 00:04:45,980 --> 00:04:47,280 тие беа пред. 102 00:04:47,280 --> 00:04:50,770 И тие се случува да се логирате на нивните ингеренциите во мојот веб-сајт, наместо на 103 00:04:50,770 --> 00:04:51,850 нивниот веб-сајт. 104 00:04:51,850 --> 00:04:54,780 >> И така можам да го испратам на луѓето e-mail со линк. 105 00:04:54,780 --> 00:04:56,240 Велам, ох, тука е линк. 106 00:04:56,240 --> 00:04:57,290 Ова е банка, на пример. 107 00:04:57,290 --> 00:05:01,390 Велам, тука, одете на овој линк. 108 00:05:01,390 --> 00:05:03,730 И откако тие го испрати, тие се ќе треба да се бараат околу. 109 00:05:03,730 --> 00:05:07,560 Јас може да почека за 15 секунди, 20 секунди, а потоа и pop дека влези назад во 110 00:05:07,560 --> 00:05:08,840 потпишат назад. 111 00:05:08,840 --> 00:05:10,120 Вие момци можат да ја обидат со многу повеќе работи. 112 00:05:10,120 --> 00:05:13,190 Тоа е комплицирана, бидејќи вие момци не сум ја видел JavaScript, па можеби ќе 113 00:05:13,190 --> 00:05:14,750 Не знам некои функции. 114 00:05:14,750 --> 00:05:18,625 Но сите што треба да направите е да започнете со скрипта, заврши со сценариото. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 И може да се стави ништо во средината. 117 00:05:25,510 --> 00:05:27,350 >> Алармирање е функција, почекајте. 118 00:05:27,350 --> 00:05:29,365 Прозорец локација ќе ве однесе на нова локација. 119 00:05:29,365 --> 00:05:31,370 Но можете да направите многу повеќе. 120 00:05:31,370 --> 00:05:32,630 И така идејата е дека ние се земе дека исклучени. 121 00:05:32,630 --> 00:05:39,350 Ако одам во пример два, а јас ставите во ова истиот код, тоа е 122 00:05:39,350 --> 00:05:40,210 не оди на работа. 123 00:05:40,210 --> 00:05:43,620 Така, тоа е печатење се надвор, бидејќи она што овој веб-сајт првично 124 00:05:43,620 --> 00:05:50,350 не е ако го ставам нешто тука, тоа ќе го испечатите во право тука. 125 00:05:50,350 --> 00:05:52,390 Па тоа не е печатење на нешто надвор. 126 00:05:52,390 --> 00:05:55,560 Овој пример е всушност проверка да се види дали сценариото е таму. 127 00:05:55,560 --> 00:05:57,163 Така да, повелете. 128 00:05:57,163 --> 00:05:57,606 Прашај ме. 129 00:05:57,606 --> 00:05:59,560 >> ПУБЛИКАТА: Не е испраќање на GET или POST барањето? 130 00:05:59,560 --> 00:06:00,670 >> ЛУЧАНО Аранго: Да. тие се испраќање на GET барањето. 131 00:06:00,670 --> 00:06:01,350 >> Публика: Дали е? 132 00:06:01,350 --> 00:06:02,490 >> ЛУЧАНО Аранго: Да. 133 00:06:02,490 --> 00:06:04,030 Исто така пребарувачи користат пост барања. 134 00:06:04,030 --> 00:06:07,470 Но јас се обидувам да се покаже GET барања така што можеме да видиме што е 135 00:06:07,470 --> 00:06:10,760 всушност се случува. 136 00:06:10,760 --> 00:06:12,880 И така ако се погледне на овој код - па тоа не е работа веќе. 137 00:06:12,880 --> 00:06:24,870 И ако ги погледнеме на овој законик, тоа се случува да биде во пример две. 138 00:06:24,870 --> 00:06:29,300 Што ова лице што прави, лицето задолжен за овој интернет пребарувач - 139 00:06:29,300 --> 00:06:35,370 се отвори, во ред - 140 00:06:35,370 --> 00:06:39,290 е замена на зборот скрипта. 141 00:06:39,290 --> 00:06:42,850 Ова е PHP, кој вие момци може видовме малку на уште. 142 00:06:42,850 --> 00:06:46,250 >> Тој е само замена на Зборот скрипта со името. 143 00:06:46,250 --> 00:06:50,895 Па сепак, ако јас одам напред и само стави во - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 ако јас го зграби мојот код, повторно, и јас одам да го менувате само малку. 146 00:07:02,360 --> 00:07:15,010 Наместо на сценариото, ќе одам да се промени тоа за сценариото со капитал Р И 147 00:07:15,010 --> 00:07:16,390 ние ќе се види дали овој код работи. 148 00:07:16,390 --> 00:07:19,090 Така што не го испечатите, што е добар знак. 149 00:07:19,090 --> 00:07:21,990 И се надевам дека во повеќе од две секунди, тоа се случува да pop-up. 150 00:07:21,990 --> 00:07:22,820 >> Вашето корисничко истече. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Тоа е во ред. 153 00:07:24,460 --> 00:07:27,670 Па проверка за сценариото може не мора да работат. 154 00:07:27,670 --> 00:07:28,130 Лицето - 155 00:07:28,130 --> 00:07:32,290 тоа исто така може да се провери за сценариото големи букви, сценариото со мали букви, ул случај 156 00:07:32,290 --> 00:07:34,180 споредуваат, бидете сигурни дека тие се исти. 157 00:07:34,180 --> 00:07:38,480 Но хакер сеуште може да направи вид на она ние го сторивме во Vigenere кога се преселивме 158 00:07:38,480 --> 00:07:40,620 назад неколку карактери, се движат напред. 159 00:07:40,620 --> 00:07:43,470 И тоа може да дознаам како да се стави скрипта назад во таму, па тоа може да инјектираат 160 00:07:43,470 --> 00:07:44,460 дека сценариото. 161 00:07:44,460 --> 00:07:50,370 >> Па што сакате да го користите е htmlspecialchars да 162 00:07:50,370 --> 00:07:51,330 заштита на вашиот веб-сајт. 163 00:07:51,330 --> 00:07:56,490 И она што тоа не е тоа го прави сигурни дека она што ќе се стави во - 164 00:07:56,490 --> 00:07:59,610 на пример, цитирање или овој поголема или помала од - 165 00:07:59,610 --> 00:08:04,701 се заменува со нешто тоа нема да биде - 166 00:08:04,701 --> 00:08:05,951 дозволете ми да зумирате тука - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 вистинските симболот. 169 00:08:09,685 --> 00:08:13,420 Тоа ќе ги заменат оние специјални HTML ликови кои ќе видиме кога сме 170 00:08:13,420 --> 00:08:14,670 зборува за тоа - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 ох, ова се случува да ме враќаат во - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 овие ликови во право тука. 175 00:08:25,380 --> 00:08:28,180 >> Овие значи дека нешто доаѓа. 176 00:08:28,180 --> 00:08:31,570 За HTML, кои почнуваат заграда ни кажува дека нешто 177 00:08:31,570 --> 00:08:33,299 HTML поврзани доаѓа. 178 00:08:33,299 --> 00:08:33,980 И ние сакаме да се ослободиме од тоа. 179 00:08:33,980 --> 00:08:36,200 Ние не сакаме да се стави HTML во website.k Ние не сакаме на корисникот да биде 180 00:08:36,200 --> 00:08:40,260 можност да се стави нешто во нивниот веб-сајт кои можат да влијаат на нивната веб-страница, како 181 00:08:40,260 --> 00:08:43,480 скрипта или HTML или нешто слично. 182 00:08:43,480 --> 00:08:53,090 Она што е важно е дека вие дезинфенкцирам на корисникот влез. 183 00:08:53,090 --> 00:08:54,720 >> Така што корисниците можат да влез многу работи. 184 00:08:54,720 --> 00:08:58,110 Тој може да влез еден куп работи да се обиде да трик вашиот прелистувачот во уште 185 00:08:58,110 --> 00:08:59,410 работи оваа скрипта код. 186 00:08:59,410 --> 00:09:02,870 Што сакате да направите е да не само погледнете за сценариото, но изгледа за сè 187 00:09:02,870 --> 00:09:04,250 дека може да биде штетен. 188 00:09:04,250 --> 00:09:06,800 И htmlspecialchars ќе го правам тоа за вас, па вие не мора 189 00:09:06,800 --> 00:09:07,340 да се грижите за тоа. 190 00:09:07,340 --> 00:09:12,280 Но, не се обиде да направи од себе вид на со свој код. 191 00:09:12,280 --> 00:09:14,055 Е секој јасно на XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Ајде да одиме во SQL инјекција. 194 00:09:16,355 --> 00:09:21,010 Па SQL инјекција е веројатно број еден ранливост 195 00:09:21,010 --> 00:09:22,490 во различни веб страници. 196 00:09:22,490 --> 00:09:24,350 Мислам, добар пример - 197 00:09:24,350 --> 00:09:27,350 Јас бев само истражување крајниот за оваа работа. 198 00:09:27,350 --> 00:09:34,430 И го најдов овој одличен напис, каде што Видов дека Харвард беше прекршено, 199 00:09:34,430 --> 00:09:35,390 беше хакиран. 200 00:09:35,390 --> 00:09:37,370 И јас се прашував, добро, како тие ќе го направам тоа? 201 00:09:37,370 --> 00:09:41,660 Харвард најмногу страшни, повеќето обезбеди универзитет некогаш. 202 00:09:41,660 --> 00:09:43,850 Нели? 203 00:09:43,850 --> 00:09:45,410 Па, да го прекрши серверите, хакери користат 204 00:09:45,410 --> 00:09:47,710 техника наречена SQL инјекција. 205 00:09:47,710 --> 00:09:50,250 >> Значи ова се случува на ден на ден основа. 206 00:09:50,250 --> 00:09:53,590 Луѓе забораваат да ги земат предвид за SQL инјекција. 207 00:09:53,590 --> 00:09:54,930 Харвард го прави тоа. 208 00:09:54,930 --> 00:10:00,050 Мислам дека тоа вели тука, Принстон, Стенфорд, Корнел. 209 00:10:00,050 --> 00:10:03,550 Па, како да ние - па што е ова SQL инјектирање што носи сите овие 210 00:10:03,550 --> 00:10:05,668 луѓе долу? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Па SQL е програмски јазик кој ние ги користиме за да пристапите бази на податоци. 213 00:10:12,090 --> 00:10:14,560 Она што го правиме е ние избираме - 214 00:10:14,560 --> 00:10:18,510 па што ова го чита во моментов е да изберете сè, од масата. 215 00:10:18,510 --> 00:10:22,640 >> SQL, таа се менува во овие бази на податоци кои имаат маси полни со информации. 216 00:10:22,640 --> 00:10:26,550 Па одберете сè, од корисници каде што името е корисничко име. 217 00:10:26,550 --> 00:10:28,120 Нели? 218 00:10:28,120 --> 00:10:30,770 Едноставна. 219 00:10:30,770 --> 00:10:34,490 Идејата на SQL инјекција е тоа што ние вметнете некои малициозен код, кој би 220 00:10:34,490 --> 00:10:37,270 трик на серверот во трчање нешто различно од она што 221 00:10:37,270 --> 00:10:38,430 првично беше работи. 222 00:10:38,430 --> 00:10:44,970 Па да речеме за корисничко име, ние се стави во или 1 еднаква на 1. 223 00:10:44,970 --> 00:10:46,700 Па ние се стави во или 1 еднаква на 1. 224 00:10:46,700 --> 00:10:49,890 Начинот на кој таа ќе ги чита сега ќе биде изберете од корисниците, сè, од 225 00:10:49,890 --> 00:10:51,360 корисници - ова е сè - 226 00:10:51,360 --> 00:10:55,880 каде што име е корисничко име, туку Корисничкото име е или 1 еднаква на 1. 227 00:10:55,880 --> 00:11:01,760 >> Значи името е ништо или 1 еднаква на 1. 228 00:11:01,760 --> 00:11:04,060 1 еднаква на 1 е секогаш точно. 229 00:11:04,060 --> 00:11:07,690 Значи ова секогаш ќе се вратат информации од страна на корисниците. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Ние не треба да имаат правилното корисничко име. 232 00:11:10,030 --> 00:11:14,240 Ние само може да има нешто што го сакаме, и ќе се врати информации 233 00:11:14,240 --> 00:11:15,690 дека ни треба. 234 00:11:15,690 --> 00:11:17,160 Ајде да погледнеме во уште еден пример. 235 00:11:17,160 --> 00:11:22,720 >> Ако имаме изберете сè, од корисникот, каде што име е Зависници ТАБЕЛА корисници - 236 00:11:22,720 --> 00:11:26,420 па што мислиш оваа волја правам ако се стави во корисничкото име 237 00:11:26,420 --> 00:11:29,560 како зависници ТАБЕЛА корисници? 238 00:11:29,560 --> 00:11:30,230 Некој има идеја? 239 00:11:30,230 --> 00:11:31,050 Да. 240 00:11:31,050 --> 00:11:32,470 >> Публика: Тоа се случува да се каже тоа да шутнат сите табели. 241 00:11:32,470 --> 00:11:35,460 >> ЛУЧАНО Аранго: Тоа се случува да ни кажете да шутнат сè во веб-сајт, 242 00:11:35,460 --> 00:11:38,290 се што е во базата на податоци. 243 00:11:38,290 --> 00:11:41,910 И она што луѓето го користат тоа за - па Одам да ви покаже момци. 244 00:11:41,910 --> 00:11:45,462 Јас исклучени намалувањето на табели бидејќи јас не сакате 245 00:11:45,462 --> 00:11:48,240 момци да се откажат од мојот маси. 246 00:11:48,240 --> 00:11:49,850 Ајде да ги разгледаме во тоа. 247 00:11:49,850 --> 00:11:54,410 Значи ова едноставно граби информации за одредена личност. 248 00:11:54,410 --> 00:11:57,550 Така како ние да знаеме дали ова е погодени од SQL инјекција. 249 00:11:57,550 --> 00:12:01,545 Ние ќе се провери во реално брзо ако можеме да се стави нешто - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 дозволете ми да Копирај го овој код. 252 00:12:06,080 --> 00:12:08,140 Одам да одат преку него во една секунда. 253 00:12:08,140 --> 00:12:12,210 Одам да се стави корен и 1 е еднаква на 1. 254 00:12:12,210 --> 00:12:15,510 >> Ова право тука, овој знакот за процент 23 - 255 00:12:15,510 --> 00:12:19,970 она што навистина е, ако јас гледам тука во - 256 00:12:19,970 --> 00:12:23,820 начинот на HTML зема во бројки, ако да погледнам во кога ќе се стави во простор 257 00:12:23,820 --> 00:12:28,380 тука - ако јас да се простор нешто тука, тоа се менува во процент 2. 258 00:12:28,380 --> 00:12:31,420 Дали ви момци види ова право тука кога ќе се стави во вселената? 259 00:12:31,420 --> 00:12:36,710 Начинот на кој таа работи е дека можете само испрати ASCII вредности преку HTML. 260 00:12:36,710 --> 00:12:40,330 Па тоа го заменува, на пример, простор со проценти 20. 261 00:12:40,330 --> 00:12:41,970 Јас не знам дали вие момци видовме дека порано. 262 00:12:41,970 --> 00:12:45,100 >> Тоа заменува ознаката со проценти 23. 263 00:12:45,100 --> 00:12:50,840 Ние треба hashtag на крајот на или изјава така што можеме да им кажам на 264 00:12:50,840 --> 00:13:00,885 база на податоци да се заборави да се коментира надвор оваа последна точка и запирка на крајот. 265 00:13:00,885 --> 00:13:03,060 Ние сакаме тоа да не размислувам за тоа. 266 00:13:03,060 --> 00:13:05,980 Ние само сакаме да се кандидира се ' дека имаме однапред и 267 00:13:05,980 --> 00:13:07,450 коментира тоа. 268 00:13:07,450 --> 00:13:08,710 Ајде да ги разгледаме во неа. 269 00:13:08,710 --> 00:13:14,670 >> Значи, ако јас требаше да се стави нешто не е во ред - да речеме на пример, ја ставив 2 еднаквите 270 00:13:14,670 --> 00:13:15,690 1, тоа не ми даде ништо. 271 00:13:15,690 --> 00:13:22,930 Кога ќе се стави во 1 еднаква на 1, и тоа го прави врати нешто, ова ми кажува дека 272 00:13:22,930 --> 00:13:24,660 ова е подложен на Sql вбризгување. 273 00:13:24,660 --> 00:13:29,090 Знам сега дека без оглед на Ја ставив по ова - 274 00:13:29,090 --> 00:13:39,110 и на пример, зависници ТАБЕЛИ или нешто слично 275 00:13:39,110 --> 00:13:41,190 дефинитивно ќе работи. 276 00:13:41,190 --> 00:13:44,350 Знам дека е подложен на SQL инјекција бидејќи знам дека 277 00:13:44,350 --> 00:13:49,850 под капакот на моторот, тоа е да им се овозможи ме прават 1 еднаква на 1 работа. 278 00:13:49,850 --> 00:13:51,100 Во ред? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> И ако гледаме на овие другите, број два и број три, тоа е 281 00:13:56,540 --> 00:13:59,110 случува да се направи малку повеќе на проверка под 282 00:13:59,110 --> 00:14:03,680 качулка на тоа што е. 283 00:14:03,680 --> 00:14:07,425 Па секој овозможи на капка ништо сеуште или се обиде? 284 00:14:07,425 --> 00:14:08,760 Дали ви момци вид на добие SQL уште? 285 00:14:08,760 --> 00:14:10,430 Бидејќи знам вие не мора видела тоа уште, па тоа е вид на 286 00:14:10,430 --> 00:14:11,759 збунувачки за вас момци. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Ајде да ги разгледаме. 289 00:14:18,480 --> 00:14:21,270 Значи она што е начин да се спречи SQLI? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Значи ова е навистина важно затоа што момци дефинитивно сакате да се спречи 292 00:14:23,330 --> 00:14:24,090 ова во вашиот веб-сајтови. 293 00:14:24,090 --> 00:14:28,040 >> Ако не, сите твои пријатели се случува да се забавуваат на вас кога тие се отфрли сите 294 00:14:28,040 --> 00:14:29,390 вашите табели. 295 00:14:29,390 --> 00:14:36,150 Значи идејата е да поправка на SQL на одреден начин, а ти натпревар 296 00:14:36,150 --> 00:14:41,940 она што корисникот влезови со одреден стринг. 297 00:14:41,940 --> 00:14:46,120 Па начинот на кој тоа работи е што подготви база на податоци. 298 00:14:46,120 --> 00:14:50,830 Вие одберете име, боја, и калории од базата на податоци наречена овошје. 299 00:14:50,830 --> 00:14:53,580 А потоа каде калории помалку отколку, и ќе стави знак прашалник има 300 00:14:53,580 --> 00:14:56,530 велејќи ние ќе влез нешто во секунда. 301 00:14:56,530 --> 00:14:58,850 >> И бојата еднаква, и ќе стави прашање Означи велејќи ние ќе 302 00:14:58,850 --> 00:15:00,913 внесување нешто во вториот, како и. 303 00:15:00,913 --> 00:15:02,660 Во ред? 304 00:15:02,660 --> 00:15:09,920 А потоа ние го изврши, ставање во 150 и црвена боја. 305 00:15:09,920 --> 00:15:12,820 И тоа ќе провериш да бидете сигурни дека овие две - 306 00:15:12,820 --> 00:15:15,300 оваа низа ќе провери дека овие две се цел број и 307 00:15:15,300 --> 00:15:16,550 дека ова е стринг. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Потоа одиме, и ние пренесам сите, ние го стави во црвена боја. 310 00:15:20,890 --> 00:15:21,964 Тоа значи дека ние викнам сите. 311 00:15:21,964 --> 00:15:26,790 Тоа значи дека ние всушност се изврши SQL изјава и го врати во црвено. 312 00:15:26,790 --> 00:15:30,530 Еве ние го стори истото, но ние го стори истото за жолта. 313 00:15:30,530 --> 00:15:32,490 И ние викнам сите. 314 00:15:32,490 --> 00:15:36,140 >> И на овој начин, ние се спречи на корисникот од тоа да биде во можност да го внесете нешто 315 00:15:36,140 --> 00:15:41,710 тоа не е она што ние одредено, низа или цел број, на пример. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Зборев претходно за потпирајќи се на други. 318 00:15:46,610 --> 00:15:50,010 Кога вие ќе почнете вашиот проект, ти си повеќето дефинитивно ќе се користи 319 00:15:50,010 --> 00:15:52,310 bootstrap или нешто слично. 320 00:15:52,310 --> 00:15:53,490 Дали сте момци некогаш се користи Wordpress? 321 00:15:53,490 --> 00:15:57,170 Веројатно вие момци се користат Вордпрес најверојатно. 322 00:15:57,170 --> 00:16:00,050 Значи проблемот со користење на работи на другите луѓе - 323 00:16:00,050 --> 00:16:05,940 Јас сум само одење на Google реално брзо Вордпрес ранливост. 324 00:16:05,940 --> 00:16:07,495 >> Ако јас се повлече оваа до сега - 325 00:16:07,495 --> 00:16:08,995 Јас буквално направи две втори Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Можеме да видиме дека WordPress - 328 00:16:13,800 --> 00:16:17,450 ова е датиран во септември '12. 329 00:16:17,450 --> 00:16:19,120 26 е надграден. 330 00:16:19,120 --> 00:16:23,620 Стандардна конфигурација на WordPress пред 3,6 не ги спречува овие 331 00:16:23,620 --> 00:16:27,110 одредени подигнати, која може да направи полесно за 332 00:16:27,110 --> 00:16:29,790 крос-сајт скриптирање напади. 333 00:16:29,790 --> 00:16:34,530 Така брз приказна, еднаш сме работеле со - така бев во лето, во кои работат на 334 00:16:34,530 --> 00:16:34,970 стажирање. 335 00:16:34,970 --> 00:16:40,400 И ние работевме со вид на како голема кредитна картичка компанија. 336 00:16:40,400 --> 00:16:42,020 >> И тие се потпираат на нешто што се нарекува - 337 00:16:42,020 --> 00:16:45,740 Јас не знам дали вие момци некогаш играл со производ наречен Joomla. 338 00:16:45,740 --> 00:16:51,750 Џумла е производ што се користи за контрола - вид на слични на 339 00:16:51,750 --> 00:16:54,340 WordPress, се користи за да се изгради веб-сајтови. 340 00:16:54,340 --> 00:16:56,060 Па морале нивниот веб-сајт работи на Џумла. 341 00:16:56,060 --> 00:16:59,290 Ова е всушност кредитна картичка компанија во Колумбија. 342 00:16:59,290 --> 00:17:01,000 Јас ќе ве однесе до нивните веб-страница вистински брз. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Така што тие употребија Joomla. 345 00:17:05,400 --> 00:17:08,630 И тие не се ажурирани Јоомла до најновите прилог. 346 00:17:08,630 --> 00:17:12,160 И така, кога бевме Гледано во нивниот код, бевме во можност да всушност 347 00:17:12,160 --> 00:17:18,430 одат внатре нивниот код и ги украде сите информации за кредитна картичка што ме искарале, 348 00:17:18,430 --> 00:17:21,670 сите броеви на кредитни картички, имињата, адресите. 349 00:17:21,670 --> 00:17:22,740 И ова беше само - 350 00:17:22,740 --> 00:17:23,569 и нивните кодот е совршено добро. 351 00:17:23,569 --> 00:17:24,710 Тие имаа големо код. 352 00:17:24,710 --> 00:17:25,389 Сето тоа е безбедноста. 353 00:17:25,389 --> 00:17:26,520 Тие проверуваат сите бази на податоци. 354 00:17:26,520 --> 00:17:29,020 Тие се сигурни крос-сајт скриптирање е во ред. 355 00:17:29,020 --> 00:17:34,390 >> Но тие се користат нешто што не е нема, тоа не беше сигурен. 356 00:17:34,390 --> 00:17:36,940 И така што ги доведе до - така што вие момци дефинитивно се случува да се користи на други 357 00:17:36,940 --> 00:17:40,650 код, рамки други луѓе луѓето да се изгради својата веб-страница. 358 00:17:40,650 --> 00:17:43,860 Бидете сигурни дека тие се безбедни, бидејќи понекогаш тоа не е вас, оној кој 359 00:17:43,860 --> 00:17:44,480 прави грешка. 360 00:17:44,480 --> 00:17:47,440 Но некој друг го прави грешка, и тогаш ќе падне поради тоа. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Лозинки и PII. 363 00:17:53,885 --> 00:17:56,820 Па лозинки. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Ајде да ги разгледаме во лозинки вистински брз. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Молам да ми кажете дека секој користи безбедна - 369 00:18:06,520 --> 00:18:09,030 Јас сум надевајќи се сите тука користи безбедна лозинки. 370 00:18:09,030 --> 00:18:12,890 Јас сум само допуштајќи дека во, како претпоставка. 371 00:18:12,890 --> 00:18:14,850 Па вие момци се дефинитивно ќе ја чување на лозинки за вашите веб сајтови. 372 00:18:14,850 --> 00:18:17,440 Ви се случува да се направи нешто како најава или нешто слично. 373 00:18:17,440 --> 00:18:19,610 Она што е важно е да се чува на лозинки во обичен текст. 374 00:18:19,610 --> 00:18:20,860 Ова е исклучително важно. 375 00:18:20,860 --> 00:18:23,960 Вие не сакате да се складира лозинка во обичен текст. 376 00:18:23,960 --> 00:18:27,370 >> А ти дефинитивно навистина не сакам да го чува на еден начин хаш. 377 00:18:27,370 --> 00:18:32,440 Па што еден начин hash е дека кога ќе генерираат еден збор, кога ќе се стави ова 378 00:18:32,440 --> 00:18:36,200 збор во хеш функција, тоа ќе генерираат назад некој вид на криптичната 379 00:18:36,200 --> 00:18:39,390 порака или криптичната множество на клучеви. 380 00:18:39,390 --> 00:18:40,640 Јас ќе ви покажам еден пример. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Одам да хаш тие зборови password1. 383 00:18:50,250 --> 00:18:55,280 Па MD5 hash се случува да ми се врати некој вид на чудни информации. 384 00:18:55,280 --> 00:18:59,140 >> Проблемот е во тоа што луѓето таму кои сакале да одат во веб-сајтови имаат 385 00:18:59,140 --> 00:19:02,750 веќе сфатиле вид на сите MD5 хашови. 386 00:19:02,750 --> 00:19:06,030 Она што се случи е дека тие седна на нивните компјутери, и тие hashed секој 387 00:19:06,030 --> 00:19:09,660 единствен можен збор од таму до тие добија вид на што е ова. 388 00:19:09,660 --> 00:19:11,420 Ако јас да се погледне на овој горе - 389 00:19:11,420 --> 00:19:12,420 Јас само го грабнала оваа хаш. 390 00:19:12,420 --> 00:19:14,120 Ако јас се добие оваа хаш од - 391 00:19:14,120 --> 00:19:17,470 ако одам во веб-сајт, и јас се најде овој хаш затоа што дојде до 392 00:19:17,470 --> 00:19:24,100 бази на податоци, и јас го гледам нагоре, некој веќе го сфатиле за мене. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Да. 395 00:19:29,100 --> 00:19:35,030 Па луѓето седна, и што и MD5 хаш што ќе се стави во, тие ќе 396 00:19:35,030 --> 00:19:37,760 се врати на вас нешто тоа е зборот. 397 00:19:37,760 --> 00:19:39,800 Ако јас хаш друг збор, како - 398 00:19:39,800 --> 00:19:42,410 Не знам - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Не сакам да бидат разочарани од страна на моите Google пребарувања. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Тоа е, trees2. 403 00:19:52,780 --> 00:19:55,930 Толку многу веб-сајтови уште го користат MD5 hash. 404 00:19:55,930 --> 00:19:57,730 Тие велат дека, ох, тоа е сигурно. 405 00:19:57,730 --> 00:19:58,570 Ние не сме чување во обичен текст. 406 00:19:58,570 --> 00:19:59,740 Имаме оваа MD5 hash. 407 00:19:59,740 --> 00:20:01,880 И сите што треба да направите е само Google бројот. 408 00:20:01,880 --> 00:20:03,940 >> Јас дури и не мора да си пресмета. 409 00:20:03,940 --> 00:20:06,790 Јас само може да го прогуглате, и некој веќе тоа го правеше за мене. 410 00:20:06,790 --> 00:20:08,010 Еве еден куп од нив. 411 00:20:08,010 --> 00:20:09,260 Тука е еден куп на лозинки. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Значи дефинитивно не користат MD5 hash, бидејќи сите што треба да 414 00:20:18,680 --> 00:20:19,140 направите е да го Google. 415 00:20:19,140 --> 00:20:20,390 Значи она што сакате да го користите наместо неа? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Нешто што се нарекува солење. 419 00:20:31,260 --> 00:20:32,460 Па што солење е - 420 00:20:32,460 --> 00:20:36,280 ви момци сеќавам, кога бевме зборуваме за случаен во - 421 00:20:36,280 --> 00:20:37,920 Не сум сигурен што pset тоа беше - 422 00:20:37,920 --> 00:20:41,140 беше тоа pset таму или четири? 423 00:20:41,140 --> 00:20:45,150 >> Ние се зборува за наоѓање на игла во haystack. 424 00:20:45,150 --> 00:20:48,480 И во pset, тој рече дека можете да всушност дознаам што случајно 425 00:20:48,480 --> 00:20:51,840 генерира затоа што некој е веќе трчаше случаен милион пати и само 426 00:20:51,840 --> 00:20:53,230 вид на формирани што и тие генерираат. 427 00:20:53,230 --> 00:20:55,840 Што сакате да направите е да стави во влез. 428 00:20:55,840 --> 00:20:57,130 Значи тоа е она што солење вид на е. 429 00:20:57,130 --> 00:21:00,900 Тие веќе сфатиле што солење се враќа за секоја работа. 430 00:21:00,900 --> 00:21:04,750 >> Па што солење не е ќе се стави во сол. 431 00:21:04,750 --> 00:21:06,160 Ќе се стави во одреден збор. 432 00:21:06,160 --> 00:21:09,720 И тоа ќе хаш тој збор во зависност од она што го стави тука. 433 00:21:09,720 --> 00:21:13,570 Значи, ако јас хаш лозинка една со ова реченица, тоа се случува да хаш 434 00:21:13,570 --> 00:21:17,180 поинаку ако можев хаш password1 со различен реченица. 435 00:21:17,180 --> 00:21:21,670 Тоа вид на се дава некаде да се започне за hashing да почне. 436 00:21:21,670 --> 00:21:25,970 Па тоа е многу потешко да се пресмета, но вие уште може да го пресмета, особено 437 00:21:25,970 --> 00:21:26,830 ако користите лоши сол. 438 00:21:26,830 --> 00:21:29,650 >> Луѓе веќе, исто така, сфатиле заеднички соли и сфатиле 439 00:21:29,650 --> 00:21:31,500 она што е. 440 00:21:31,500 --> 00:21:34,980 Случаен соли се многу подобро, но најдобриот начин е да се користи 441 00:21:34,980 --> 00:21:38,160 нешто што се нарекува криптата. 442 00:21:38,160 --> 00:21:40,480 И она што криптата ви овозможува да не - па овие функции се 443 00:21:40,480 --> 00:21:41,820 веќе изградени за вас. 444 00:21:41,820 --> 00:21:44,910 Многу луѓе забораваат дека, или тие забораваат да го користам. 445 00:21:44,910 --> 00:21:54,520 Но, ако јас гледам нагоре криптата PHP, крипта веќе враќа хаш низа за мене. 446 00:21:54,520 --> 00:21:58,790 И тоа всушност го соли многу пати и тоа хашови многу пати. 447 00:21:58,790 --> 00:22:00,070 >> Па ние не треба да го направите тоа. 448 00:22:00,070 --> 00:22:04,790 Така што сите што треба да направите е испрати го во гробница. 449 00:22:04,790 --> 00:22:08,170 И тоа ќе се создаде голема хаш без можете да се грижите за сол 450 00:22:08,170 --> 00:22:08,990 или ништо. 451 00:22:08,990 --> 00:22:12,000 Бидејќи ако сте во ситуација да сол, морате да се сетиш што солта ќе се користи 452 00:22:12,000 --> 00:22:13,800 бидејќи ако не, не можете да ја добиете вашата лозинка назад, без 453 00:22:13,800 --> 00:22:15,760 сол што ќе се користи. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> А исто така и лични идентификациони информации. 457 00:22:23,150 --> 00:22:26,730 Значи за социјално осигурување, за кредитна картичка - тоа е доста очигледно. 458 00:22:26,730 --> 00:22:31,880 Но понекогаш луѓето да заборават на начинот на кој таа дела е, колку информации дали 459 00:22:31,880 --> 00:22:35,690 всушност треба да се најде некој човек? 460 00:22:35,690 --> 00:22:37,740 Некој направи студија за овој начин назад. 461 00:22:37,740 --> 00:22:40,870 И тоа беше како, ако имате со полно име, не можете да најдете 462 00:22:40,870 --> 00:22:41,610 некој што лесно. 463 00:22:41,610 --> 00:22:43,900 Но, што ако имаш име и презиме и нивниот датум на раѓање? 464 00:22:43,900 --> 00:22:47,770 Дали е тоа доволно да се идентификуваат некој конкретно? 465 00:22:47,770 --> 00:22:52,760 >> Што ако имате нивното име и улица дека тие живеат? 466 00:22:52,760 --> 00:22:55,110 Дали е тоа доволно да се најде некој? 467 00:22:55,110 --> 00:23:02,490 И тоа е кога тие се прашуваат, што е лични податоци за идентификација, а 468 00:23:02,490 --> 00:23:05,360 она што треба да се грижи за не даваат далеку? 469 00:23:05,360 --> 00:23:08,770 Ако подарите лични идентификациони информации дека некој ти дава, 470 00:23:08,770 --> 00:23:11,420 што потенцијално може да се поднесе тужба. 471 00:23:11,420 --> 00:23:12,610 И ние дефинитивно не сакам тоа. 472 00:23:12,610 --> 00:23:14,955 >> Значи, кога сте поставување на вашиот веб-сајт надвор, и имаш навистина кул 473 00:23:14,955 --> 00:23:17,230 дизајн, се надевам дека сте направиле страшни конечниот проект. 474 00:23:17,230 --> 00:23:18,370 Секое може да се вид сакате да го го стави таму. 475 00:23:18,370 --> 00:23:21,420 Вие сакате да бидете сигурни дека она што сте преземање од страна на корисникот, ако тоа е 476 00:23:21,420 --> 00:23:25,310 лични податоци за идентификација, ќе сакате да бидете сигурни дека сте се навистина 477 00:23:25,310 --> 00:23:26,560 внимателни со него. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Школка инјекција. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Школка инјекција овозможува на натрапник да се добие пристап до вашиот вистински командната линија 482 00:23:37,590 --> 00:23:39,660 во Вашиот сервер. 483 00:23:39,660 --> 00:23:44,060 И така тој е во состојба да се кандидира код дека не можат да го контролираат. 484 00:23:44,060 --> 00:23:49,560 Да го земеме еден пример за ова убава низа во право тука. 485 00:23:49,560 --> 00:23:55,570 Ако одиме во веб страната повторно, јас сум ќе одат во кодот инјекција. 486 00:23:55,570 --> 00:23:58,910 Така што тоа не е - 487 00:23:58,910 --> 00:24:00,420 тоа е, исто така, она што бевме гледајќи пред. 488 00:24:00,420 --> 00:24:11,200 Ние сме препуштајќи му се на корисник стави во она што тој сака, а тоа ќе испечатите 489 00:24:11,200 --> 00:24:12,220 што сакаш. 490 00:24:12,220 --> 00:24:13,890 >> Па ќе одам да се стави на повик. 491 00:24:13,890 --> 00:24:15,540 Што тоа не е - 492 00:24:15,540 --> 00:24:16,940 тоа ќе се започне со надоврзување. 493 00:24:16,940 --> 00:24:19,520 Така што ќе може да ми работи без оглед на Командите што се извршуваат на лицето 494 00:24:19,520 --> 00:24:21,500 пред и моја команда. 495 00:24:21,500 --> 00:24:23,980 И јас сум водење на системот команда. 496 00:24:23,980 --> 00:24:27,310 И овие последните стрингови се - се сеќавам она што јас разговарав со вас момци за, 497 00:24:27,310 --> 00:24:31,725 а мора да се кодираат тоа во URL-то метод. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Ако јас ја извршите оваа сега - 500 00:24:36,992 --> 00:24:39,150 Јас ќе ви покажам над тука - 501 00:24:39,150 --> 00:24:41,100 ќе видите дека јас завршив до водење на команда. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Ова е всушност вистински сервер дека мојот веб-сајт се работи на. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Па ние не сакаме тоа, затоа што може да се кандидира - 506 00:24:58,510 --> 00:25:00,320 овој сервер не е мое. 507 00:25:00,320 --> 00:25:04,030 Па јас не сакам да се плеткаш неговото сестра, серверот на Marcus. 508 00:25:04,030 --> 00:25:07,470 Но можете да ја стартувате повеќе команди кои се опасни. 509 00:25:07,470 --> 00:25:11,885 И потенцијално, може да избришете датотеки, ги отстраните директориуми. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Јас може да се отстранат одреден директориум ако Сакав да, но јас не сакам 512 00:25:17,970 --> 00:25:19,530 да го стори тоа за да Маркус. 513 00:25:19,530 --> 00:25:20,420 Тој е убав дечко. 514 00:25:20,420 --> 00:25:21,470 Тој нека ми позајми неговиот сервер. 515 00:25:21,470 --> 00:25:24,620 Па ќе одам да го пуштиш исклучување на добра. 516 00:25:24,620 --> 00:25:32,280 >> Значи она што не сакате да го користите - Ние не сакате да ги користите eval или систем. 517 00:25:32,280 --> 00:25:34,755 Eval или систем ни овозможува да направат овие системски повици. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval средства оцени. 520 00:25:38,410 --> 00:25:40,790 Систем значи она што налетав. 521 00:25:40,790 --> 00:25:42,490 Тоа е работат нешто во системот. 522 00:25:42,490 --> 00:25:46,730 Но, можеме да ја исклучиме овие работи во PHP, така што ние не ги користите. 523 00:25:46,730 --> 00:25:47,400 И File Upload. 524 00:25:47,400 --> 00:25:49,180 Јас требаше да се направи одличен работа со датотечниот испратите. 525 00:25:49,180 --> 00:25:52,740 Но како што вие момци се рече, моето досие испратите нешто не е работа. 526 00:25:52,740 --> 00:25:54,590 Ако јас да испратите датотека токму сега - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 ако јас се да испратите датотека, и тоа е слика - 529 00:26:00,830 --> 00:26:03,180 имате испратите нешто тоа е слика. 530 00:26:03,180 --> 00:26:03,660 Тоа е во ред. 531 00:26:03,660 --> 00:26:04,280 Ништо не се случува. 532 00:26:04,280 --> 00:26:10,840 >> Но, ако имате Upload фајл, за пример, и на корисникот всушност Поставени 533 00:26:10,840 --> 00:26:19,220 датотеката PHP или exe датотеката или нешто како тоа, тогаш може потенцијално 534 00:26:19,220 --> 00:26:19,740 имаат проблем. 535 00:26:19,740 --> 00:26:21,390 Тоа беше работа порано. 536 00:26:21,390 --> 00:26:25,202 За жал за мене, тоа е не работи повеќе. 537 00:26:25,202 --> 00:26:30,230 Ако Јас, на пример, испратите оваа датотека, јас сум не ги добиваат дозвола за качување 538 00:26:30,230 --> 00:26:33,400 датотеката се должи на серверот не се мои. 539 00:26:33,400 --> 00:26:38,670 Па човек е навистина паметни. 540 00:26:38,670 --> 00:26:39,610 >> Па ние не сакаме да - 541 00:26:39,610 --> 00:26:40,130 Одам да ви покаже момци - 542 00:26:40,130 --> 00:26:41,840 Добро, овие се некои навистина кул алатки. 543 00:26:41,840 --> 00:26:45,100 Па овие - 544 00:26:45,100 --> 00:26:47,715 одат во - ако вие момци имаат Firefox - се надевам дека ќе го направите. 545 00:26:47,715 --> 00:26:54,260 Има две додатоци наречен SQL инекција Мене и крос-сајт сценарио Мене. 546 00:26:54,260 --> 00:26:56,870 Тие се отвори малку страна барови на страна. 547 00:26:56,870 --> 00:27:01,480 И ако јас се да одат на Cs60 на пример - 548 00:27:01,480 --> 00:27:04,210 па што го прави тоа е тоа изгледа за сите форми, кои - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 се надевам, јас нема да во неволја за тоа. 551 00:27:08,760 --> 00:27:09,190 >> Но во ред. 552 00:27:09,190 --> 00:27:12,600 Тука е игла систем. 553 00:27:12,600 --> 00:27:18,946 Па кога ќе почнете да барате дупки во системот, прво нешто што правам е 554 00:27:18,946 --> 00:27:21,820 отвори оваа прекрасна малку алатка на страна. 555 00:27:21,820 --> 00:27:24,160 И јас одам да се тестираат форми со авто напади. 556 00:27:24,160 --> 00:27:28,510 И уште па што тоа не е тоа полека ќе отвори еден куп на прелистувачи. 557 00:27:28,510 --> 00:27:29,930 Тука е еден куп на прелистувачи. 558 00:27:29,930 --> 00:27:33,320 И тоа се обидува на секој комбинација на крос-сајт скриптирање 559 00:27:33,320 --> 00:27:37,380 дека има можност да е, ако ќе видите на страната. 560 00:27:37,380 --> 00:27:42,080 >> И тоа ќе ми даде резултат вид на она одговорот е. 561 00:27:42,080 --> 00:27:42,860 Сите помине. 562 00:27:42,860 --> 00:27:43,910 Очигледно, сите тие помине. 563 00:27:43,910 --> 00:27:46,190 Мислам, тие се навистина паметни луѓе таму. 564 00:27:46,190 --> 00:27:48,010 Но, ако јас требаше да ја стартувате - 565 00:27:48,010 --> 00:27:52,050 Имав пати пред кога ќе ја извршите оваа за конечниот проекти учениците. 566 00:27:52,050 --> 00:27:56,080 Јас едноставно се кандидира SQL Инјектирајте мене со сите различни напади. 567 00:27:56,080 --> 00:28:00,080 И тоа се обидува да SQL инјектираат оваа игла сервер. 568 00:28:00,080 --> 00:28:03,590 Значи, ако ние се движите надолу, за пример, се вели - 569 00:28:03,590 --> 00:28:04,960 ова е добро ако го враќа. 570 00:28:04,960 --> 00:28:08,250 >> Така што се тестираат некои одредени вредности. 571 00:28:08,250 --> 00:28:11,170 И серверот се врати на код кој беше негативен. 572 00:28:11,170 --> 00:28:11,780 Отстрани привремено. 573 00:28:11,780 --> 00:28:13,030 Ова е добро. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Таа се обидува сите овие тестови. 576 00:28:20,750 --> 00:28:21,790 Па можете едноставно да се кандидира - 577 00:28:21,790 --> 00:28:27,860 Јас би сакала да се најде веб вистински брзо што ќе ми дозволи - 578 00:28:27,860 --> 00:28:29,110 можеби CS50 продавница. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Леле, ова ќе земе премногу долго. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Јас ќе те оставам првиот тест не заврши во право. 583 00:28:55,130 --> 00:28:57,330 Па тоа се жали. 584 00:28:57,330 --> 00:28:58,470 Значи овие се три работи. 585 00:28:58,470 --> 00:29:00,430 Овие алатки се бесплатни. 586 00:29:00,430 --> 00:29:03,960 Можете да ги преземете и да ја стартувате нив на Вашиот веб-сајт, и тоа ќе ти кажам, ако 587 00:29:03,960 --> 00:29:06,650 имате крос-сајт скриптирање, ако имате SQL, ако имате 588 00:29:06,650 --> 00:29:07,900 нешто слично. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Јас сум вид на Месинг до. 591 00:29:14,500 --> 00:29:15,550 >> Она што е важно - 592 00:29:15,550 --> 00:29:17,900 Добро, така што никогаш не му верувате на корисникот. 593 00:29:17,900 --> 00:29:21,920 Без оглед на корисник влезови за вас, бидете сигурни дека тоа дезинфенкцирам, ќе го исчисти, 594 00:29:21,920 --> 00:29:25,300 можете да проверите за правото нешта, дека тоа е ви даваат она што 595 00:29:25,300 --> 00:29:28,240 сакам од него да ви даде. 596 00:29:28,240 --> 00:29:32,460 Секогаш да се ажурираат на она рамки дека сте всушност користите. 597 00:29:32,460 --> 00:29:34,630 Ако користите нешто како bootstrap - 598 00:29:34,630 --> 00:29:36,340 Знам дека момци се случува да се користи bootstrap, бидејќи тој нема да оди 599 00:29:36,340 --> 00:29:38,140 во текот на овој наскоро во класа - 600 00:29:38,140 --> 00:29:43,120 и Wordpress или нешто слично, Нормално ова може да се пробиени. 601 00:29:43,120 --> 00:29:44,770 >> А потоа можете дури и не знаат. 602 00:29:44,770 --> 00:29:45,800 Сте само водење на вашиот веб-сајт. 603 00:29:45,800 --> 00:29:47,360 И тоа е сосема безбеден. 604 00:29:47,360 --> 00:29:51,730 И ќе одат надолу. 605 00:29:51,730 --> 00:29:54,000 Па јас сум риболов навистина рано. 606 00:29:54,000 --> 00:29:55,770 Но сакам да им се заблагодарам Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Одам да ви покаже момци нешто наречен Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Ако вие момци се навистина заинтересирани за што безбедноста е навистина, има 609 00:30:05,000 --> 00:30:07,300 веб-сајтот наречен Pentest Labs ако вие момци одат на тоа токму сега. 610 00:30:07,300 --> 00:30:10,730 О, добро, тоа не е тоа. 611 00:30:10,730 --> 00:30:12,030 Јас сум само ќе го стартувате како оваа. 612 00:30:12,030 --> 00:30:14,400 Google ми кажува одговорот. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 И тоа ве учи користење - така што вели, да научат веб пенетрација 615 00:30:19,030 --> 00:30:21,060 тестирање на вистински начин. 616 00:30:21,060 --> 00:30:23,650 Тоа ве учи - 617 00:30:23,650 --> 00:30:25,150 се надевам, ти си етички лице. 618 00:30:25,150 --> 00:30:29,200 Но тоа ве учи како може да се погледне како може да се добие во внатрешноста на веб-сајтови. 619 00:30:29,200 --> 00:30:31,130 И ако научат како можете да добиете во веб-сајтови, можете да научите како да се 620 00:30:31,130 --> 00:30:34,960 се заштитат себе си од добивање внатре веб-сајтови. 621 00:30:34,960 --> 00:30:39,100 Дозволете ми да зумирате затоа што можеби вие момци не се гледа во ова право. 622 00:30:39,100 --> 00:30:46,350 >> Од SQL инјекција да плаќа, па вид на како можам да добијам од SQL 623 00:30:46,350 --> 00:30:48,530 инјекција за да се плаќа. 624 00:30:48,530 --> 00:30:53,890 И можете да го симнете овој виртуелна машина. 625 00:30:53,890 --> 00:30:55,690 И на виртуелната машина веќе доаѓа со веб-сајт што сте 626 00:30:55,690 --> 00:30:56,780 ќе го обиде на. 627 00:30:56,780 --> 00:30:58,030 Можете да го симнете овој PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 И тоа ќе ви покаже линија по линија што што треба да направите, што ви се провери. 630 00:31:08,370 --> 00:31:14,560 Тоа е она што на напаѓачот всушност прави за да се добие во внатрешноста на веб-страница. 631 00:31:14,560 --> 00:31:15,750 >> А некои од овој материјал е комплицирано. 632 00:31:15,750 --> 00:31:17,520 Јас би сакала да одам во текот на повеќе нешта со вас момци. 633 00:31:17,520 --> 00:31:21,090 Но јас се загрижени дека вие момци имаат навистина не - 634 00:31:21,090 --> 00:31:23,090 тоа е она што јас отидов во текот со вие момци, веб тестови 635 00:31:23,090 --> 00:31:26,830 за пенетрација на тестирање. 636 00:31:26,830 --> 00:31:33,540 Навистина не знам што SQL е и она што - 637 00:31:33,540 --> 00:31:35,960 Семинарот Карл Џексон е одличен, како и. 638 00:31:35,960 --> 00:31:37,360 Вие момци не знаат вид на она што е оваа. 639 00:31:37,360 --> 00:31:39,450 Но, ако одите на оваа веб страна, и ќе преземете овие упатства и овие 640 00:31:39,450 --> 00:31:43,290 PDF датотеки, можете да погледнете во вид на она што областа на безбедноста навистина 641 00:31:43,290 --> 00:31:46,940 во пенетрација на тестирање, да видиме како може да добие во внатрешноста на веб-сајтови и заштита 642 00:31:46,940 --> 00:31:48,020 себе од него. 643 00:31:48,020 --> 00:31:56,360 >> Значи, ако јас се направи супер брз преглед, тоа ќе биде спречување на крос-сајт скриптирање. 644 00:31:56,360 --> 00:32:00,160 Сакате да htmlspecialchars ја користат секоја Време корисник влезови нешто. 645 00:32:00,160 --> 00:32:01,580 Спречи SQL инјекција. 646 00:32:01,580 --> 00:32:04,510 Ако го направите тоа, ти си веќе подобро отколку Харвард беше 647 00:32:04,510 --> 00:32:06,530 Кога ги добија прекршено. 648 00:32:06,530 --> 00:32:10,510 И бидете сигурни дека вашите лозинки не се во обичен текст. 649 00:32:10,510 --> 00:32:16,220 Бидете сигурни дека не само еден начин хаш нив, но дека го користите криптата, PHP 650 00:32:16,220 --> 00:32:18,670 функција која ви покажа момци. 651 00:32:18,670 --> 00:32:20,060 На тој начин, треба да биде добро. 652 00:32:20,060 --> 00:32:25,830 >> Исто така, ако вашите пријатели ви, работи SQL ме внесе на нивните веб-сајтови. 653 00:32:25,830 --> 00:32:28,140 Се кандидира крос-сајт скриптирање на нивните веб-сајтови. 654 00:32:28,140 --> 00:32:33,720 И ќе видите многу од овие веб-сајтови имаат еден тон на слабости. 655 00:32:33,720 --> 00:32:40,400 Тоа е неверојатно колку луѓе забораваат да дезинфенкцирам нивните бази на податоци или да се направи 656 00:32:40,400 --> 00:32:46,340 сигурен што внесување на лицето не е сценариото код. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Јас вид на завршија навистина рано. 659 00:32:49,182 --> 00:32:56,510 Но, ако некој има било какви прашања во врска ништо, може да ми пука прашање. 660 00:32:56,510 --> 00:32:56,630 Да. 661 00:32:56,630 --> 00:32:56,970 Оди, оди. 662 00:32:56,970 --> 00:32:59,846 >> Публика: Јас само сакам да прашам, може да ви објасни како на датотеката 663 00:32:59,846 --> 00:33:03,160 испратите точно дела. 664 00:33:03,160 --> 00:33:03,480 >> ЛУЧАНО Аранго: Да. 665 00:33:03,480 --> 00:33:06,350 Па дозволете ми да ви покажеме на датотеката испратите вистински брз. 666 00:33:06,350 --> 00:33:11,300 Па file upload - 667 00:33:11,300 --> 00:33:14,500 проблемот духовитост на File Upload во моментов е дека - 668 00:33:14,500 --> 00:33:18,541 Одам да се отвори кодот, така вие момци види го кодот зад сцената. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 И тоа е испраќате. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Тука е кодот за датотеката подигнувачот. 673 00:33:31,560 --> 00:33:33,980 >> Ние се обидуваме да одат во овој Директориум овде. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 И ние се обидуваме да се, еднаш ние влез на датотека, isset датотека - така кога постои 676 00:33:44,880 --> 00:33:50,900 поднесе во датотеки, кои на сликата, а потоа ние се обидуваме да го преселиме тука. 677 00:33:50,900 --> 00:33:51,910 Ние го дофати датотека овде. 678 00:33:51,910 --> 00:33:58,350 Методот е POST, тип, слика, фајл. 679 00:33:58,350 --> 00:33:59,630 И ние сме испраќање на оваа датотека. 680 00:33:59,630 --> 00:34:03,910 А потоа откако ќе го добие, па откако датотека има слика, ние се обидуваме да го испрати 681 00:34:03,910 --> 00:34:05,060 на овој директориум. 682 00:34:05,060 --> 00:34:09,814 >> Проблемот е во тоа што на веб-сајтот не е да ми овозможи да одат на овој директориум, 683 00:34:09,814 --> 00:34:12,239 поради тоа што не сакаш да се вратиш назад. 684 00:34:12,239 --> 00:34:13,489 Тоа не сакаш да одам - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Морам да одам - ​​Па еве испратите. 687 00:34:17,070 --> 00:34:17,639 Еве слики. 688 00:34:17,639 --> 00:34:21,780 Морам да одат по целиот пат назад до почнуваат и го стави во таму и тогаш 689 00:34:21,780 --> 00:34:23,820 оди и го стави во директориумот. 690 00:34:23,820 --> 00:34:30,000 Па ако трчав терминален прозорец, и јас сакав да преместите датотека - 691 00:34:30,000 --> 00:34:30,409 [Нечујни] 692 00:34:30,409 --> 00:34:32,159 може да се види. 693 00:34:32,159 --> 00:34:37,940 Ако сакав да преместите датотека, имам да се стави името на датотеката и потоа 694 00:34:37,940 --> 00:34:40,860 целосниот пат сакам да ја испрати на. 695 00:34:40,860 --> 00:34:45,110 >> И тогаш серверот не е да ми овозможи да се вратиш назад. 696 00:34:45,110 --> 00:34:46,929 И така тоа не е да им се овозможи ме стигне до таа датотека. 697 00:34:46,929 --> 00:34:47,670 Но нормално - 698 00:34:47,670 --> 00:34:49,360 па постои кодот за качувањето на датотеката. 699 00:34:49,360 --> 00:34:52,260 Па нормално што ќе се случи е дека лице не е проверка дали моето досие 700 00:34:52,260 --> 00:34:57,920 завршува со. JPEG, па јас ќе сакате да се провери. 701 00:34:57,920 --> 00:35:00,054 Дозволете ми да се отвори пример премногу вистински брз. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Оваа личност во право - 705 00:35:09,230 --> 00:35:11,980 така на пример две е проверка ако preg_match - 706 00:35:11,980 --> 00:35:14,180 тука е овде - 707 00:35:14,180 --> 00:35:19,660 да бидете сигурни дека завршува со PHP, што е добро. 708 00:35:19,660 --> 00:35:20,580 Ова е добро. 709 00:35:20,580 --> 00:35:22,820 Но, има вистински голем Проблемот со ова. 710 00:35:22,820 --> 00:35:24,600 Ова е добро. 711 00:35:24,600 --> 00:35:44,190 Но, ако јас требаше да се стави на датотека се нарекува myfavoritepicture.php.jpeg, можев 712 00:35:44,190 --> 00:35:50,060 уште потенцијално да се ослободи од jpeg и да ја стартувате it.k Тоа PHP е опасно. 713 00:35:50,060 --> 00:35:53,850 Вие не сакате лицето да биде во можност да се кандидира кодот на вашиот веб-сајт. 714 00:35:53,850 --> 00:35:55,750 >> Но тогаш. JPEG ти овозможува тоа да помине. 715 00:35:55,750 --> 00:36:00,720 Идејата е она што навистина сакате да го направите не се земе датотеки, А Но, во ред, што 716 00:36:00,720 --> 00:36:07,500 Дали навистина сакате да направите е да бидете сигурни дека ќе прочитате во текот на целиот свет. 717 00:36:07,500 --> 00:36:08,720 И нема ништо. PHP во неа. 718 00:36:08,720 --> 00:36:10,500 Нема. PHP во лицето на Целиот името на датотеката. 719 00:36:10,500 --> 00:36:12,780 >> Публика: Но, можете да стави. jpeg на крајот. 720 00:36:12,780 --> 00:36:15,830 Серверите се уште работат на код. 721 00:36:15,830 --> 00:36:16,870 >> ЛУЧАНО Аранго: Не, тоа нема да се се кандидира на почетокот. 722 00:36:16,870 --> 00:36:22,310 Мора да се оди назад и обидете се да се види дали може да се - 723 00:36:22,310 --> 00:36:24,210 >> Публика: Значи ние треба да - 724 00:36:24,210 --> 00:36:26,020 Добро, само уште еден сет кој вклучува - 725 00:36:26,020 --> 00:36:26,936 >> ЛУЧАНО Аранго: Да. 726 00:36:26,936 --> 00:36:29,230 >> Публика: OK. 727 00:36:29,230 --> 00:36:31,486 >> ЛУЧАНО Аранго: Да. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Било какви други прашања? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Одам да ја напушти оваа и сортирање на обиде да се види дали вие момци можат да - 732 00:36:37,350 --> 00:36:40,490 останатите се малку повеќе комплицирана, бидејќи тие бараат многу 733 00:36:40,490 --> 00:36:44,050 повеќе знаење на SQL отколку само почнувајќи познавање на веб SQL е и 734 00:36:44,050 --> 00:36:47,010 она што го вклучите Javascript-е. 735 00:36:47,010 --> 00:36:49,730 Но јас ќе одам да се обиде да ги задржи на овој горе, и се надевам дека вие момци ќе научат 736 00:36:49,730 --> 00:36:53,230 за ова и обидете се да се погледнеме што можете да направите и како многу примери 737 00:36:53,230 --> 00:36:54,420 можете да добиете преку. 738 00:36:54,420 --> 00:36:56,020 >> Секој имате било какви други прашања во врска со тоа? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Оди напред. 741 00:37:00,350 --> 00:37:01,170 Да, се пука, пука. 742 00:37:01,170 --> 00:37:01,580 Да, повелете. 743 00:37:01,580 --> 00:37:01,850 Оди напред. 744 00:37:01,850 --> 00:37:02,310 >> Публика: OK. 745 00:37:02,310 --> 00:37:08,870 Така слушнав за тоа како магија Цитати не се безбедни доволно. 746 00:37:08,870 --> 00:37:09,280 >> ЛУЧАНО Аранго: Што - 747 00:37:09,280 --> 00:37:10,110 Магијата Цитати? 748 00:37:10,110 --> 00:37:10,595 >> Публика: Да. 749 00:37:10,595 --> 00:37:15,445 Па затоа додава - па секогаш кога го внесуваш нешто, тоа секогаш додава цитати. 750 00:37:15,445 --> 00:37:15,930 >> ЛУЧАНО Аранго: Да. 751 00:37:15,930 --> 00:37:16,000 Да. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> ПУБЛИКАТА: И тогаш јас иако тоа работел, но тогаш јас го барав нагоре. 754 00:37:19,113 --> 00:37:21,648 И тој рече дека не е добро. 755 00:37:21,648 --> 00:37:23,050 Но не сум сигурен зошто. 756 00:37:23,050 --> 00:37:23,360 >> ЛУЧАНО Аранго: Да. 757 00:37:23,360 --> 00:37:26,240 >> ПУБЛИКАТА: Не користете Магијата Цитати, бидејќи тоа не е безбеден. 758 00:37:26,240 --> 00:37:26,360 >> ЛУЧАНО Аранго: OK. 759 00:37:26,360 --> 00:37:31,735 Па Магијата Цитати е кога ќе внесете SQL и тоа веќе додава понуда за вас. 760 00:37:31,735 --> 00:37:33,520 >> Публика: Тоа секогаш додава цитати околу она што се стави внатре 761 00:37:33,520 --> 00:37:34,210 >> ЛУЧАНО Аранго: Да. 762 00:37:34,210 --> 00:37:37,190 Значи проблемот со тоа е дека - 763 00:37:37,190 --> 00:37:38,445 Јас ќе ги разгледаме во - 764 00:37:38,445 --> 00:37:41,390 >> Публика: Како тоа се здобијат со SQL изјава? 765 00:37:41,390 --> 00:37:44,690 Или претпоставувам дека тоа би можело да биде како цитат изберете. 766 00:37:44,690 --> 00:37:49,030 >> ЛУЧАНО Аранго: Да, ви треба добри понуди за SQL. 767 00:37:49,030 --> 00:37:52,900 >> ПУБЛИКАТА: Не, но на серверот го прави тоа за вас. 768 00:37:52,900 --> 00:37:54,460 >> ЛУЧАНО Аранго: Овие мали наводници токму тука, овие малку цитати? 769 00:37:54,460 --> 00:37:55,670 >> Публика: Да. 770 00:37:55,670 --> 00:37:56,450 >> ЛУЧАНО Аранго: Да. 771 00:37:56,450 --> 00:37:59,860 Проблемот е во тоа што можете да коментирајте ја последната - 772 00:37:59,860 --> 00:38:05,770 Добро, така што можам да направам е можам да коментирам надвор - па ајде да ги разгледаме во - дозволете ми да 773 00:38:05,770 --> 00:38:07,920 отвори за уредување текст датотеки. 774 00:38:07,920 --> 00:38:09,610 Дозволете ми да ја уредите оваа токму тука директно. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Вие момци може да се види дека јасно? 778 00:38:23,710 --> 00:38:29,730 Што можам да направам е можам да коментирам надвор последен. 779 00:38:29,730 --> 00:38:32,190 Ова ќе коментира надвор последен. 780 00:38:32,190 --> 00:38:36,760 , А потоа јас ќе ги ставам овде, стави сите малициозни работи тука. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Па така корисниците е всушност внесување, нели? 783 00:38:42,630 --> 00:38:45,230 Корисникот не е внесување работите, нели? 784 00:38:45,230 --> 00:38:47,430 Тоа е она што јас ќе одам да влез како лицето се обидува да добие во внатрешноста. 785 00:38:47,430 --> 00:38:49,430 Одам да се стави во - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 тоа е една знакот за цитирање. 788 00:39:00,180 --> 00:39:01,760 Тоа е само squiggly по грешка. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 А потоа она што го кодот се случува да се направи - 791 00:39:19,400 --> 00:39:20,190 Жал ми е, јас ќе одам да ја искористам оваа надвор. 792 00:39:20,190 --> 00:39:22,170 Што го кодот се случува да направите е да тоа се случува да се додаде на првиот 793 00:39:22,170 --> 00:39:24,030 наводници тука. 794 00:39:24,030 --> 00:39:26,040 И тоа се случува да додадете последната знакот за цитирање, како и. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> И тоа е, исто така, ќе додадете минатата година, последните знакот за цитирање. 797 00:39:33,270 --> 00:39:37,380 Но јас сум коментирајќи овие цитат означува надвор, па тие не работат. 798 00:39:37,380 --> 00:39:41,440 И јас сум завршувањето овој цитат одбележи овде. 799 00:39:41,440 --> 00:39:42,290 Дали ви е јасно? 800 00:39:42,290 --> 00:39:43,750 Сте се изгубиле? 801 00:39:43,750 --> 00:39:45,880 Можам да коментира последната цитат марка, и се грижи за 802 00:39:45,880 --> 00:39:46,680 Првиот знакот за цитирање. 803 00:39:46,680 --> 00:39:47,350 >> Публика: И само завршница првиот. 804 00:39:47,350 --> 00:39:47,480 >> ЛУЧАНО Аранго: Да. 805 00:39:47,480 --> 00:39:48,400 И само заврши првиот. 806 00:39:48,400 --> 00:39:48,790 Да, тоа е во право. 807 00:39:48,790 --> 00:39:50,800 Тоа е она што можам да направам. 808 00:39:50,800 --> 00:39:51,890 Да. 809 00:39:51,890 --> 00:39:52,980 Било какви други прашања, како тоа? 810 00:39:52,980 --> 00:39:54,230 Тоа е големо прашање. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Не, одговорот е да, можеби. 813 00:39:59,790 --> 00:40:06,150 Се надевам, вие момци вид на ќе се направи повеќе смисла кога ќе студираат SQL и 814 00:40:06,150 --> 00:40:06,650 работи како што. 815 00:40:06,650 --> 00:40:07,980 Но бидете сигурни дека - 816 00:40:07,980 --> 00:40:10,340 задржи овие алатки во часовникот. 817 00:40:10,340 --> 00:40:12,760 Жал ми е, овие алатки овде. 818 00:40:12,760 --> 00:40:14,200 Овие алатки се големи. 819 00:40:14,200 --> 00:40:17,190 Ако некој има било какви прашања, исто така можете да ми мејл. 820 00:40:17,190 --> 00:40:19,020 Ова е мојот нормален мејл. 821 00:40:19,020 --> 00:40:25,015 И ова е мојата работа-мејл, кој е кога ќе работат на отворено море. 822 00:40:25,015 --> 00:40:26,040 >> Добро, благодарам. 823 00:40:26,040 --> 00:40:26,740 Благодарам, момци. 824 00:40:26,740 --> 00:40:27,860 Ти си добро да отидевме. 825 00:40:27,860 --> 00:40:28,830 Вие не треба да останат тука. 826 00:40:28,830 --> 00:40:29,570 Не трипер. 827 00:40:29,570 --> 00:40:30,170 Тоа е чудно. 828 00:40:30,170 --> 00:40:31,420 Добро, благодарам, момци. 829 00:40:31,420 --> 00:40:32,320