1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> ЛУЧАНО Аранго: Хорошо, ребята. 3 00:00:10,300 --> 00:00:11,550 Меня зовут Лучано Аранго. 4 00:00:11,550 --> 00:00:13,915 Я на втором курсе в Adams House. 5 00:00:13,915 --> 00:00:17,550 И мы собираемся говорить о веб-безопасности активной обороны. 6 00:00:17,550 --> 00:00:24,220 Так что я работаю на Управление информации Безопасность в море. 7 00:00:24,220 --> 00:00:28,670 И в течение лета, я интернированы в SeguraTec, который был информация 8 00:00:28,670 --> 00:00:31,310 охранная фирма, которая служила для Банка Колумбия. 9 00:00:31,310 --> 00:00:34,740 Это в основном, где я узнал, что я узнал до сих пор. 10 00:00:34,740 --> 00:00:37,990 >> И поэтому некоторые из материала, который мы находимся собираюсь перейти на сегодня, у нас есть не 11 00:00:37,990 --> 00:00:39,670 действительно говорили в классе. 12 00:00:39,670 --> 00:00:40,410 Но мы скоро. 13 00:00:40,410 --> 00:00:42,360 Это будет, как SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 И мы действительно не пошел по ней. 15 00:00:44,870 --> 00:00:47,730 Так что я могут быть отсортированы полета через него, и вы можете не знать некоторые вещи. 16 00:00:47,730 --> 00:00:48,890 Но в ближайшее время, вы узнаете его. 17 00:00:48,890 --> 00:00:52,080 И это будет все имеет смысла. 18 00:00:52,080 --> 00:00:54,010 Также еще одна вещь - 19 00:00:54,010 --> 00:00:55,780 остаться этично. 20 00:00:55,780 --> 00:01:00,560 Некоторые из вещей, которые вы узнаете, вы могли бы использовать в не-этических способами. 21 00:01:00,560 --> 00:01:01,950 >> Если это ваш, безусловно, попробовать. 22 00:01:01,950 --> 00:01:04,500 Я определенно мотивировать вас, ребята попробовать свои собственные серверы, попробуйте 23 00:01:04,500 --> 00:01:05,519 происходит внутри них. 24 00:01:05,519 --> 00:01:08,500 Смотрите, если вы можете проникнуть их, если вы можете получить в них. 25 00:01:08,500 --> 00:01:09,560 Но не кого-либо еще. 26 00:01:09,560 --> 00:01:12,390 Менты не очень люблю шутки и вся, мы подавили это здесь. 27 00:01:12,390 --> 00:01:14,040 Мы были возиться. 28 00:01:14,040 --> 00:01:15,780 Они получают очень зол. 29 00:01:15,780 --> 00:01:18,700 >> Так над головой в этом сайте. 30 00:01:18,700 --> 00:01:23,560 У меня открылся прямо здесь. 31 00:01:23,560 --> 00:01:26,780 Это сайт, и это имеет кучу примеров. 32 00:01:26,780 --> 00:01:30,000 Что происходит, что первый пример является своего рода будет намного проще 33 00:01:30,000 --> 00:01:33,470 чем в прошлом, например, в известном смысле что первый пример 34 00:01:33,470 --> 00:01:34,970 полностью небезопасно. 35 00:01:34,970 --> 00:01:40,850 И последний из которых является своего рода то, что нормальный человек веб-безопасности будет делать. 36 00:01:40,850 --> 00:01:42,760 Но вы все равно можете сортировать из обойти это. 37 00:01:42,760 --> 00:01:44,860 И мы собираемся упором на один и два, примеры один и два. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> ОК. 40 00:01:49,920 --> 00:01:52,780 Давайте начнем с межсайтовый скриптинг. 41 00:01:52,780 --> 00:01:56,100 JavaScript выполняется на браузер клиента. 42 00:01:56,100 --> 00:01:59,980 Это язык программирования, который вы используете для запуска в браузере клиента так 43 00:01:59,980 --> 00:02:04,120 Вы не должны обновлять сайт и вернуться к серверу. 44 00:02:04,120 --> 00:02:04,940 У вас есть это работает. 45 00:02:04,940 --> 00:02:08,870 Например, Facebook, вы не должны перезагрузить сайт новом статусе 46 00:02:08,870 --> 00:02:09,710 обновления, чтобы придумать. 47 00:02:09,710 --> 00:02:12,170 Генерировать Она использует наличие все эти вещи. 48 00:02:12,170 --> 00:02:16,290 Так что мы можем внедрить вредоносный JavaScript в веб-сайтов. 49 00:02:16,290 --> 00:02:20,890 И таким образом, когда мы посылаем ссылку на кто-то, мы могли рода отправить его с 50 00:02:20,890 --> 00:02:23,050 часть кода, который мы хотим. 51 00:02:23,050 --> 00:02:26,450 >> Там в стойкими и непостоянные JavaScript - 52 00:02:26,450 --> 00:02:30,640 стойкие и непостоянные межсайтовый сценариев, я имею в виду. 53 00:02:30,640 --> 00:02:33,760 А разница в том, что постоянные является JavaScript, что будет 54 00:02:33,760 --> 00:02:36,060 сохраняются на веб-сайте. 55 00:02:36,060 --> 00:02:39,780 И непостоянные будет JavaScript что будет на самом деле просто так один раз. 56 00:02:39,780 --> 00:02:41,795 Так что давайте посмотрим на примере действительно быстро. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> ОК. 59 00:02:46,130 --> 00:02:51,620 Так этот сайт, просто, ничего не происходит здесь. 60 00:02:51,620 --> 00:02:53,070 И мы собираемся, чтобы попытаться вставить некоторые JavaScript. 61 00:02:53,070 --> 00:02:58,110 Так как мы начинаем писать наличие является мы начинаем с началом сценария. 62 00:02:58,110 --> 00:03:00,570 И мы закрыть его с помощью сценария. 63 00:03:00,570 --> 00:03:03,770 Мы просто собираемся поместить сообщение - 64 00:03:03,770 --> 00:03:05,410 Я покажу вам, - 65 00:03:05,410 --> 00:03:06,500 предупреждение. 66 00:03:06,500 --> 00:03:11,150 Оповещение это функция, которая JavaScript использует для отображения что-то. 67 00:03:11,150 --> 00:03:12,400 Так давайте попробуем действительно быстро. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Я собираюсь пойти, оповещение привет. 70 00:03:18,944 --> 00:03:20,400 Ну, я забыл поставить - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 ОК. 73 00:03:25,460 --> 00:03:26,540 Так вот просто. 74 00:03:26,540 --> 00:03:28,730 >> Ставим наличие на веб-сайте, и это придумал. 75 00:03:28,730 --> 00:03:31,200 И это своего рода происходит только на нашем сайте, не так ли? 76 00:03:31,200 --> 00:03:33,040 Так что похоже, что это не проблема, не так ли? 77 00:03:33,040 --> 00:03:34,920 Я имею в виду, как вы могли использовать это злонамеренно? 78 00:03:34,920 --> 00:03:39,930 Таким образом, способ, которым хакеры делать это действительно просто. 79 00:03:39,930 --> 00:03:40,970 Они собираются, чтобы схватить его. 80 00:03:40,970 --> 00:03:43,750 Они могут посылать эту ссылку к вам. 81 00:03:43,750 --> 00:03:46,780 Если я пошлю эту ссылку на вас прямо сейчас, и вы открываете его, он собирается 82 00:03:46,780 --> 00:03:51,620 говорят, привет, говоря, что мой сайт говорит вам привет. 83 00:03:51,620 --> 00:03:57,280 >> И поэтому, если я скажу, что-то немного умнее, если бы я подтянуть 84 00:03:57,280 --> 00:03:59,880 JavaScript функция Я как бы уже писал - 85 00:03:59,880 --> 00:04:03,940 но если вы посмотрите на нее, я пойду над ним, прежде чем я ее написал. 86 00:04:03,940 --> 00:04:06,650 Таким образом, мы собираемся установить тайм-аут. 87 00:04:06,650 --> 00:04:08,450 Мы собираемся ждать пару секунд. 88 00:04:08,450 --> 00:04:13,970 На самом деле, мы собираемся ждать, если Я не ошибаюсь, пять секунд. 89 00:04:13,970 --> 00:04:15,870 Это идет в миллисекундах. 90 00:04:15,870 --> 00:04:18,640 А потом, что мы собираемся сделать, это мы собирается предупредить, что Войти 91 00:04:18,640 --> 00:04:21,459 Тайм-аут, чтобы снова войдите 92 00:04:21,459 --> 00:04:23,990 И мы собираемся, чтобы изменить местоположение в другое место. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Так что, если я посылаю этот сайт, чтобы кто-то, они собираются быть 95 00:04:32,970 --> 00:04:34,380 просматривают вокруг, спокойно. 96 00:04:34,380 --> 00:04:35,650 Ничего не происходит. 97 00:04:35,650 --> 00:04:38,550 И через пять секунд, он собирается сказать, ваша Войти истекло. 98 00:04:38,550 --> 00:04:40,200 Пожалуйста, снова войдите 99 00:04:40,200 --> 00:04:43,400 Как только они нажмите кнопку ОК, я собираюсь взять их на другой сайт. 100 00:04:43,400 --> 00:04:45,980 Предположительно, сайт собирается быть похожа на сайте, что 101 00:04:45,980 --> 00:04:47,280 они были прежде. 102 00:04:47,280 --> 00:04:50,770 И они собираются войти их Полномочия в моем веб-сайте, а не 103 00:04:50,770 --> 00:04:51,850 их сайт. 104 00:04:51,850 --> 00:04:54,780 >> И так я могу послать людям по электронной почте с этой ссылке. 105 00:04:54,780 --> 00:04:56,240 Я говорю, ну, вот ссылка. 106 00:04:56,240 --> 00:04:57,290 Это банк, например. 107 00:04:57,290 --> 00:05:01,390 Я говорю, вот, идут по этой ссылке. 108 00:05:01,390 --> 00:05:03,730 И как только они отправить его, они будет осматриваться. 109 00:05:03,730 --> 00:05:07,560 Я могу подождать в течение 15 секунд, 20 секунд, а затем поп, что, пожалуйста, снова войти в 110 00:05:07,560 --> 00:05:08,840 подписать обратно. 111 00:05:08,840 --> 00:05:10,120 Вы, ребята, можете попробовать его с намного больше вещей. 112 00:05:10,120 --> 00:05:13,190 Это сложно, потому что вы, ребята, не видел наличие, так что вы могли бы 113 00:05:13,190 --> 00:05:14,750 не знаю, что некоторые функции. 114 00:05:14,750 --> 00:05:18,625 Но все, что вам нужно сделать, это начало со сценарием, заканчиваются сценария. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 И вы могли бы поставить что-нибудь в середине. 117 00:05:25,510 --> 00:05:27,350 >> Оповещение является функцией, ждать. 118 00:05:27,350 --> 00:05:29,365 Расположение окон приведет вас на новое место. 119 00:05:29,365 --> 00:05:31,370 Но вы можете сделать гораздо больше. 120 00:05:31,370 --> 00:05:32,630 И поэтому идея в том, что мы сними это. 121 00:05:32,630 --> 00:05:39,350 Если я иду в примере два, и я положить в этом же коде, это 122 00:05:39,350 --> 00:05:40,210 не будет работать. 123 00:05:40,210 --> 00:05:43,620 Так что это печать все, потому что что этот сайт изначально 124 00:05:43,620 --> 00:05:50,350 делает, если я поставлю здесь ничего, это будет распечатать его прямо здесь. 125 00:05:50,350 --> 00:05:52,390 Так что это не печать что-нибудь. 126 00:05:52,390 --> 00:05:55,560 Этот пример фактически проверки чтобы увидеть, если сценарий есть. 127 00:05:55,560 --> 00:05:57,163 Так что да, идти вперед. 128 00:05:57,163 --> 00:05:57,606 Спросите меня. 129 00:05:57,606 --> 00:05:59,560 >> АУДИТОРИЯ: не посылает получить или отправить запрос? 130 00:05:59,560 --> 00:06:00,670 >> ЛУЧАНО Аранго: Да. они отправив запрос GET. 131 00:06:00,670 --> 00:06:01,350 >> АУДИТОРИЯ: Это? 132 00:06:01,350 --> 00:06:02,490 >> ЛУЧАНО Аранго: Да. 133 00:06:02,490 --> 00:06:04,030 Также браузеры используют почтовые запросы. 134 00:06:04,030 --> 00:06:07,470 Но я пытаюсь показать запросы GET так что мы можем видеть то, что 135 00:06:07,470 --> 00:06:10,760 происходит на самом деле. 136 00:06:10,760 --> 00:06:12,880 И поэтому, если мы смотрим на этого кода - так что это не работает больше. 137 00:06:12,880 --> 00:06:24,870 И если мы взглянем на этот код, это будет во втором примере. 138 00:06:24,870 --> 00:06:29,300 Что этот человек делает, человек отвечает за этого браузера - 139 00:06:29,300 --> 00:06:35,370 открыть, ОК - 140 00:06:35,370 --> 00:06:39,290 заменяет сценарий слово. 141 00:06:39,290 --> 00:06:42,850 Это PHP, которые вы, ребята, могли бы видели немного еще. 142 00:06:42,850 --> 00:06:46,250 >> Он просто заменив Слово скрипт с именем. 143 00:06:46,250 --> 00:06:50,895 Так, однако, если я иду вперед и просто положить в - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 если я хватаю код еще раз, и я собираюсь изменить его только немного. 146 00:07:02,360 --> 00:07:15,010 Вместо того, чтобы сценарий, я собираюсь изменить это для сценария с большой буквы Р. И 147 00:07:15,010 --> 00:07:16,390 мы собираемся посмотреть, если этот код работает. 148 00:07:16,390 --> 00:07:19,090 Так что не распечатать его, который является хорошим знаком. 149 00:07:19,090 --> 00:07:21,990 И, надеюсь, еще в двух секунд, это будет всплывал. 150 00:07:21,990 --> 00:07:22,820 >> Ваш Войти истекло. 151 00:07:22,820 --> 00:07:23,210 ОК. 152 00:07:23,210 --> 00:07:24,460 Ничего страшного. 153 00:07:24,460 --> 00:07:27,670 Так проверка на сценарий может не обязательно работать. 154 00:07:27,670 --> 00:07:28,130 Человек - 155 00:07:28,130 --> 00:07:32,290 он также может проверить сценария верхнем регистре, Сценарий в нижнем регистре, ул дело 156 00:07:32,290 --> 00:07:34,180 сравнить, убедиться, что они то же самое. 157 00:07:34,180 --> 00:07:38,480 Но хакер может еще сделать вид, что мы сделали в Vigenere когда мы переехали 158 00:07:38,480 --> 00:07:40,620 назад пару символов, двигаться вперед. 159 00:07:40,620 --> 00:07:43,470 И это может выяснить, как поставить сценарий вернуться туда, чтобы он мог придать 160 00:07:43,470 --> 00:07:44,460 что сценарий. 161 00:07:44,460 --> 00:07:50,370 >> Так что вы хотите использовать является HTMLSpecialChars к 162 00:07:50,370 --> 00:07:51,330 защитить ваш сайт. 163 00:07:51,330 --> 00:07:56,490 И то, что это делает он делает уверен, что то, что вы положили в - 164 00:07:56,490 --> 00:07:59,610 например, цитаты или это больше или меньше - 165 00:07:59,610 --> 00:08:04,701 заменяется чем-то что не будет - 166 00:08:04,701 --> 00:08:05,951 позвольте мне увеличить здесь - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 фактическая амперсанд. 169 00:08:09,685 --> 00:08:13,420 Он заменит те специальные HTML символы, которые мы увидим, когда мы 170 00:08:13,420 --> 00:08:14,670 говорим о - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 о, это собирается взять меня к - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 эти символы прямо здесь. 175 00:08:25,380 --> 00:08:28,180 >> Это означает, что что-то идет. 176 00:08:28,180 --> 00:08:31,570 Для HTML, что, начиная кронштейна говорит нам, что что-то 177 00:08:31,570 --> 00:08:33,299 Связанных HTML идет. 178 00:08:33,299 --> 00:08:33,980 И мы хотим, чтобы избавиться от этого. 179 00:08:33,980 --> 00:08:36,200 Мы не хотим, чтобы положить HTML в website.k Мы не хотим, чтобы пользователь 180 00:08:36,200 --> 00:08:40,260 состоянии положить что-то в своем веб-сайте что может повлиять на их веб-сайт, как 181 00:08:40,260 --> 00:08:43,480 сценарий или HTML или что-то вроде этого. 182 00:08:43,480 --> 00:08:53,090 Важно то, что вам санировать пользовательский ввод. 183 00:08:53,090 --> 00:08:54,720 >> Таким образом, пользователи могут входные много вещей. 184 00:08:54,720 --> 00:08:58,110 Он может вводить кучу вещей, чтобы попробовать обмануть ваш браузер в еще 185 00:08:58,110 --> 00:08:59,410 работает этот код сценария. 186 00:08:59,410 --> 00:09:02,870 То, что вы хотите сделать, это не просто посмотреть для сценария, но посмотрите на все 187 00:09:02,870 --> 00:09:04,250 что может быть вредоносным. 188 00:09:04,250 --> 00:09:06,800 И HTMLSpecialChars сделает это для вас, так что вы не должны 189 00:09:06,800 --> 00:09:07,340 беспокоиться об этом. 190 00:09:07,340 --> 00:09:12,280 Но не пытайтесь сделать сами рода с вашим собственным кодом. 191 00:09:12,280 --> 00:09:14,055 Все ли ясно, на XSS? 192 00:09:14,055 --> 00:09:14,370 >> ОК. 193 00:09:14,370 --> 00:09:16,355 Пойдем в инъекции SQL. 194 00:09:16,355 --> 00:09:21,010 Так SQL инъекции, вероятно, номер один уязвимость 195 00:09:21,010 --> 00:09:22,490 в различных веб-сайтах. 196 00:09:22,490 --> 00:09:24,350 Я имею в виду, хороший пример - 197 00:09:24,350 --> 00:09:27,350 Я просто исследуя дальше всех за это дело. 198 00:09:27,350 --> 00:09:34,430 И я нашел этот удивительный статью, где Я видел, что Гарвард был нарушен, 199 00:09:34,430 --> 00:09:35,390 был взломан. 200 00:09:35,390 --> 00:09:37,370 И мне было интересно, ну, как бы они это делают? 201 00:09:37,370 --> 00:09:41,660 Гарвардский самый удивительный, самый обеспечить университет когда-либо. 202 00:09:41,660 --> 00:09:43,850 Не так ли? 203 00:09:43,850 --> 00:09:45,410 Ну, к нарушению серверы, хакеры использовали 204 00:09:45,410 --> 00:09:47,710 метод, называемый инъекции SQL. 205 00:09:47,710 --> 00:09:50,250 >> Так это происходит на ежедневной основе. 206 00:09:50,250 --> 00:09:53,590 Люди забывают принять во внимание для инъекций SQL. 207 00:09:53,590 --> 00:09:54,930 Гарвардский делает. 208 00:09:54,930 --> 00:10:00,050 Я думаю, что здесь говорится, Принстон, Стэнфорд, Корнелл. 209 00:10:00,050 --> 00:10:03,550 Так как же нам - так что же это SQL впрыска, что приносит все это 210 00:10:03,550 --> 00:10:05,668 люди вниз? 211 00:10:05,668 --> 00:10:08,010 ОК. 212 00:10:08,010 --> 00:10:12,090 Так SQL это язык программирования, что мы используем для доступа к базам данных. 213 00:10:12,090 --> 00:10:14,560 Что мы делаем это мы выбираем - 214 00:10:14,560 --> 00:10:18,510 так что это читает сейчас это выбрать все со стола. 215 00:10:18,510 --> 00:10:22,640 >> SQL, она превращается в этих базах данных что есть столы, полные информации. 216 00:10:22,640 --> 00:10:26,550 Так выберите все от пользователей где имя является именем пользователя. 217 00:10:26,550 --> 00:10:28,120 Не так ли? 218 00:10:28,120 --> 00:10:30,770 Достаточно просто. 219 00:10:30,770 --> 00:10:34,490 Идея инъекции SQL, что мы вставить некоторые вредоносный код, который будет 220 00:10:34,490 --> 00:10:37,270 обмануть сервер в работает что-то иной, чем на 221 00:10:37,270 --> 00:10:38,430 первоначально бежал. 222 00:10:38,430 --> 00:10:44,970 Так скажем, имя пользователя, мы вкладываем в или 1 равна 1. 223 00:10:44,970 --> 00:10:46,700 Так мы одели в систему или 1 равна 1. 224 00:10:46,700 --> 00:10:49,890 Как это будет читать теперь будет выбрать от пользователей, все, начиная от 225 00:10:49,890 --> 00:10:51,360 пользователи - это и есть все - 226 00:10:51,360 --> 00:10:55,880 где имя имя пользователя, но имя пользователя является или 1 равна 1. 227 00:10:55,880 --> 00:11:01,760 >> Так имя ничего или 1 равна 1. 228 00:11:01,760 --> 00:11:04,060 1 равна 1 всегда истинно. 229 00:11:04,060 --> 00:11:07,690 Так что это всегда будет возвращать информацию от пользователей. 230 00:11:07,690 --> 00:11:08,100 ОК. 231 00:11:08,100 --> 00:11:10,030 Мы не должны иметь правильное имя пользователя. 232 00:11:10,030 --> 00:11:14,240 Мы можем просто все, что мы хотим, и он вернется информацию 233 00:11:14,240 --> 00:11:15,690 что нам нужно. 234 00:11:15,690 --> 00:11:17,160 Давайте посмотрим на другой пример. 235 00:11:17,160 --> 00:11:22,720 >> Если мы выбрать все, от пользователя, где зовут DROP пользователи ТАБЛИЦА - 236 00:11:22,720 --> 00:11:26,420 так что вы думаете это будет делать, если я ставлю в имени пользователя 237 00:11:26,420 --> 00:11:29,560 как пользователи DROP TABLE? 238 00:11:29,560 --> 00:11:30,230 Любой, есть идея? 239 00:11:30,230 --> 00:11:31,050 Да. 240 00:11:31,050 --> 00:11:32,470 >> АУДИТОРИЯ: Это будет сказать это свалить все таблицы. 241 00:11:32,470 --> 00:11:35,460 >> ЛУЧАНО Аранго: Это будет говорить нам, сбросить все на веб-сайте, 242 00:11:35,460 --> 00:11:38,290 все в базе данных. 243 00:11:38,290 --> 00:11:41,910 И то, что люди используют это для - так Я собираюсь показать вам, ребята. 244 00:11:41,910 --> 00:11:45,462 Я отключил сбросив столы потому что я не хочу, чтобы вы 245 00:11:45,462 --> 00:11:48,240 ребята падают мои таблицы. 246 00:11:48,240 --> 00:11:49,850 Давайте взглянем на это. 247 00:11:49,850 --> 00:11:54,410 Так что это просто тянет информацию в течение определенного человека. 248 00:11:54,410 --> 00:11:57,550 Так как же нам знать, если это пострадавших от инъекции SQL. 249 00:11:57,550 --> 00:12:01,545 Мы собираемся проверить реальный быстрый если мы можем положить что-то - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 дайте мне скопировать этот код. 252 00:12:06,080 --> 00:12:08,140 Я собираюсь перейти на него в секунду. 253 00:12:08,140 --> 00:12:12,210 Я собираюсь поставить корень и 1 равен 1. 254 00:12:12,210 --> 00:12:15,510 >> Это прямо здесь, это знак процента 23 - 255 00:12:15,510 --> 00:12:19,970 что это такое, если я смотреть прямо здесь, в - 256 00:12:19,970 --> 00:12:23,820 путь HTML занимает в цифрах, если вы взглянуть на, когда я положил в пространстве 257 00:12:23,820 --> 00:12:28,380 здесь - если бы я был с космическим что-то здесь, это изменяет его на два процента. 258 00:12:28,380 --> 00:12:31,420 Вы, ребята, видите ли это право здесь когда я положил в пространстве? 259 00:12:31,420 --> 00:12:36,710 Как это работает в том, что вы можете только отправить значения ASCII через HTML. 260 00:12:36,710 --> 00:12:40,330 Таким образом, он заменяет, например, пространство с процентов 20. 261 00:12:40,330 --> 00:12:41,970 Я не знаю, если вы, ребята видели, что раньше. 262 00:12:41,970 --> 00:12:45,100 >> Он заменяет хэштэг с процентов 23. 263 00:12:45,100 --> 00:12:50,840 Нам нужен хэштэг в конце или заявление, чтобы мы могли сказать 264 00:12:50,840 --> 00:13:00,885 В базе забыть закомментировать эта последняя точка с запятой в конце. 265 00:13:00,885 --> 00:13:03,060 Мы хотим, чтобы не думать об этом. 266 00:13:03,060 --> 00:13:05,980 Мы просто хотим, чтобы запустить все что у нас есть заранее и 267 00:13:05,980 --> 00:13:07,450 комментировать это. 268 00:13:07,450 --> 00:13:08,710 Давайте взглянем на него. 269 00:13:08,710 --> 00:13:14,670 >> Так что, если бы я должен был положить что-то не так - скажем к примеру, я положил 2 равно 270 00:13:14,670 --> 00:13:15,690 1, это не дает мне ничего. 271 00:13:15,690 --> 00:13:22,930 Когда я положил в 1 равен 1, и это делает вернуть что-то, это говорит мне, что 272 00:13:22,930 --> 00:13:24,660 это уязвимы для инъекция SQL. 273 00:13:24,660 --> 00:13:29,090 Теперь я знаю, что все, что Я положил после этого - 274 00:13:29,090 --> 00:13:39,110 и, например, удалять таблицы или что-то в этом роде 275 00:13:39,110 --> 00:13:41,190 , безусловно, работать. 276 00:13:41,190 --> 00:13:44,350 Я знаю, что это уязвимы для инъекций SQL потому что я знаю, что 277 00:13:44,350 --> 00:13:49,850 под капотом, это позволить мне сделать 1 соответствует 1 вещь. 278 00:13:49,850 --> 00:13:51,100 ОК? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> И если мы посмотрим на эти другие, номер два и номер три, это 281 00:13:56,540 --> 00:13:59,110 собираюсь сделать немного больше проверки под 282 00:13:59,110 --> 00:14:03,680 капот, что это такое. 283 00:14:03,680 --> 00:14:07,425 Таким образом, любой позволяют падение Все еще не пытался? 284 00:14:07,425 --> 00:14:08,760 Как вы, ребята рода получить SQL еще? 285 00:14:08,760 --> 00:14:10,430 Потому что я знаю, что вы, ребята, есть не видели это, так что это своего рода 286 00:14:10,430 --> 00:14:11,759 запутанным для вас, ребята. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Давайте взглянем. 289 00:14:18,480 --> 00:14:21,270 Так в чем же способ предотвратить SQLI? 290 00:14:21,270 --> 00:14:21,390 ОК. 291 00:14:21,390 --> 00:14:23,330 Так что это действительно важно, потому что вам ребята определенно хотите, чтобы предотвратить 292 00:14:23,330 --> 00:14:24,090 это в ваших веб-сайтов. 293 00:14:24,090 --> 00:14:28,040 >> Если нет, то все ваши друзья собираются смеяться над вами, когда они падают все 294 00:14:28,040 --> 00:14:29,390 ваши таблицы. 295 00:14:29,390 --> 00:14:36,150 Таким образом, идея в том, что вам отремонтировать SQL определенным образом, в то время как вы подходите 296 00:14:36,150 --> 00:14:41,940 что пользователь вводит с определенная строка. 297 00:14:41,940 --> 00:14:46,120 Таким образом, Это работает так вы подготовить базу данных. 298 00:14:46,120 --> 00:14:50,830 Вы выбираете имя, цвет и калорий из базы данных под названием фруктов. 299 00:14:50,830 --> 00:14:53,580 А потом, когда калорий меньше, и мы ставим знак вопроса там 300 00:14:53,580 --> 00:14:56,530 говорю, что мы собираемся ввода что-то в секунду. 301 00:14:56,530 --> 00:14:58,850 >> И цвет равных, и мы ставим вопрос Знак говорит, что мы собираемся 302 00:14:58,850 --> 00:15:00,913 вход что-то в секунду, а также. 303 00:15:00,913 --> 00:15:02,660 ОК? 304 00:15:02,660 --> 00:15:09,920 А потом мы выполнить его, положив в 150 и красный. 305 00:15:09,920 --> 00:15:12,820 И это будет проверять, чтобы уверен, что эти двое - 306 00:15:12,820 --> 00:15:15,300 этот массив будет проверять, что эти два целое и 307 00:15:15,300 --> 00:15:16,550 что это строка. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Тогда мы идем, и мы извлекаем все, мы положили его в красный цвет. 310 00:15:20,890 --> 00:15:21,964 Это означает, что мы извлекаем все. 311 00:15:21,964 --> 00:15:26,790 Это означает, что мы на самом деле выполнить SQL заявление и положил его обратно в красный цвет. 312 00:15:26,790 --> 00:15:30,530 Здесь мы делаем то же самое, но мы сделать то же самое для желтого. 313 00:15:30,530 --> 00:15:32,490 И мы забираем все. 314 00:15:32,490 --> 00:15:36,140 >> И таким образом, мы запретить пользователю от того, чтобы входной что-то 315 00:15:36,140 --> 00:15:41,710 это не то, что мы указано, строка или целому числу, например. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Я говорил ранее о полагаться на других. 318 00:15:46,610 --> 00:15:50,010 Когда вы, ребята, начать свой проект, вы наиболее определенно собираюсь использовать 319 00:15:50,010 --> 00:15:52,310 загружаться или что-то подобное. 320 00:15:52,310 --> 00:15:53,490 Ребята, вы когда-нибудь использовали Wordpress? 321 00:15:53,490 --> 00:15:57,170 Наверное, вы, ребята использовали Wordpress, скорее всего. 322 00:15:57,170 --> 00:16:00,050 Таким образом, проблема с использованием чужие вещи - 323 00:16:00,050 --> 00:16:05,940 Я просто хочу, чтобы Google очень быстро Wordpress уязвимости. 324 00:16:05,940 --> 00:16:07,495 >> Если бы я осуществить это прямо сейчас - 325 00:16:07,495 --> 00:16:08,995 Я буквально сделал двухсекундный Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Мы видим, что Wordpress - 328 00:16:13,800 --> 00:16:17,450 это от в сентябре '12. 329 00:16:17,450 --> 00:16:19,120 26 обновляется. 330 00:16:19,120 --> 00:16:23,620 В конфигурации по умолчанию Wordpress до 3,6 не мешает их 331 00:16:23,620 --> 00:16:27,110 некоторые добавления, которые могли бы сделать его проще для 332 00:16:27,110 --> 00:16:29,790 кросс-сайт скриптинг атаки. 333 00:16:29,790 --> 00:16:34,530 Так небольшая история, как только мы работали с - так что я был, летом, работая 334 00:16:34,530 --> 00:16:34,970 стажировки. 335 00:16:34,970 --> 00:16:40,400 И мы работали с рода как большой компании кредитных карт. 336 00:16:40,400 --> 00:16:42,020 >> И они полагаются на то, что называется - 337 00:16:42,020 --> 00:16:45,740 Я не знаю, если вы, ребята когда-либо играл с продуктом под названием Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla это продукт, который используется для контроль - своего рода похожи на 339 00:16:51,750 --> 00:16:54,340 Wordpress, используется для создания веб-сайтов. 340 00:16:54,340 --> 00:16:56,060 Так у них был свой веб-сайт работает на Joomla. 341 00:16:56,060 --> 00:16:59,290 На самом деле это кредитные карты Компания в Колумбии. 342 00:16:59,290 --> 00:17:01,000 Я возьму тебя с их сайт очень быстро. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Таким образом, они используются Joomla. 345 00:17:05,400 --> 00:17:08,630 И они не обновляются Joomla в последнее дополнение. 346 00:17:08,630 --> 00:17:12,160 И поэтому, когда мы были взглянуть на их код, мы смогли на самом деле 347 00:17:12,160 --> 00:17:18,430 Заходим внутрь их код и украсть все Информация о кредитных картах, что у них, 348 00:17:18,430 --> 00:17:21,670 все номера кредитных карт, имена, адреса. 349 00:17:21,670 --> 00:17:22,740 И это было только - 350 00:17:22,740 --> 00:17:23,569 и их код прекрасно подошло. 351 00:17:23,569 --> 00:17:24,710 У них была отличная код. 352 00:17:24,710 --> 00:17:25,389 Это было все, безопасности. 353 00:17:25,389 --> 00:17:26,520 Они проверили все базы данных. 354 00:17:26,520 --> 00:17:29,020 Они убедились, что кросс-сайт сценариев было прекрасно. 355 00:17:29,020 --> 00:17:34,390 >> Но они использовали то, что не было обновляется, что не был в безопасности. 356 00:17:34,390 --> 00:17:36,940 И так, что привело их к - чтобы вы, ребята обязательно будем использовать другие 357 00:17:36,940 --> 00:17:40,650 код, рамки чужие людей чтобы создать свой веб-сайт. 358 00:17:40,650 --> 00:17:43,860 Убедитесь в том, что они в безопасности, потому что иногда это не вы, тот, который 359 00:17:43,860 --> 00:17:44,480 делает ошибку. 360 00:17:44,480 --> 00:17:47,440 Но кто-то делает ошибку, и затем вы падаете из-за этого. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Пароли и PII. 363 00:17:53,885 --> 00:17:56,820 Так пароли. 364 00:17:56,820 --> 00:17:58,070 ОК. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Давайте взглянем на пароли действительно быстро. 367 00:18:04,230 --> 00:18:04,590 ОК. 368 00:18:04,590 --> 00:18:06,520 Скажите, пожалуйста, что все использует безопасный - 369 00:18:06,520 --> 00:18:09,030 Я надеюсь, все здесь использует безопасные пароли. 370 00:18:09,030 --> 00:18:12,890 Я просто давая, что в качестве предположения. 371 00:18:12,890 --> 00:18:14,850 Так вы, ребята, безусловно, будет хранить пароли для ваших сайтов. 372 00:18:14,850 --> 00:18:17,440 Вы собираетесь сделать что-то вроде Войти или что-то вроде этого. 373 00:18:17,440 --> 00:18:19,610 Важно то, чтобы не хранить пароли в виде обычного текста. 374 00:18:19,610 --> 00:18:20,860 Это чрезвычайно важно. 375 00:18:20,860 --> 00:18:23,960 Вы же не хотите, чтобы сохранить пароль в виде обычного текста. 376 00:18:23,960 --> 00:18:27,370 >> И вы определенно не хочу хранить его в одну сторону хэш. 377 00:18:27,370 --> 00:18:32,440 Так что один из способов хэш является то, что, когда вы генерировать слова, когда вы кладете это 378 00:18:32,440 --> 00:18:36,200 Слово в хэш-функции, она будет генерировать назад какой-то загадочный 379 00:18:36,200 --> 00:18:39,390 сообщение или загадочный набор ключей. 380 00:18:39,390 --> 00:18:40,640 Я покажу вам пример. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Я собираюсь хэш они слово password1. 383 00:18:50,250 --> 00:18:55,280 Так MD5 хеш собирается вернуть меня какой-то странный информации. 384 00:18:55,280 --> 00:18:59,140 >> Проблема в том, что люди там что хотели бы выходить в веб-сайты имеют 385 00:18:59,140 --> 00:19:02,750 уже выяснили рода всех хэшей MD5. 386 00:19:02,750 --> 00:19:06,030 То, что они это они сели на их компьютеры, и они хэшируется каждый 387 00:19:06,030 --> 00:19:09,660 единственно возможным слово там до они получили своего рода, что это такое. 388 00:19:09,660 --> 00:19:11,420 Если бы я был искать это вверх - 389 00:19:11,420 --> 00:19:12,420 Я просто схватил этот хэш. 390 00:19:12,420 --> 00:19:14,120 Если я получу этот хэш от - 391 00:19:14,120 --> 00:19:17,470 если я иду в веб-сайт, и я считаю, это хэш, потому что я получаю, чтобы 392 00:19:17,470 --> 00:19:24,100 базы данных, и я посмотреть его, кто-то уже понял это для меня. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Да. 395 00:19:29,100 --> 00:19:35,030 Таким образом, люди сели, и все, что md5 хэш, что вы кладете в, они собираются 396 00:19:35,030 --> 00:19:37,760 вернуться к вам что-то что это слово. 397 00:19:37,760 --> 00:19:39,800 Если я хэш другое слово, как - 398 00:19:39,800 --> 00:19:42,410 Я не знаю, - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Я не хочу быть разочарованным на моих поисков Google. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Там это, trees2. 403 00:19:52,780 --> 00:19:55,930 Так много веб-сайтов до сих пор используют MD5 хэш. 404 00:19:55,930 --> 00:19:57,730 Говорят, о, это безопасно. 405 00:19:57,730 --> 00:19:58,570 Мы не хранить в виде обычного текста. 406 00:19:58,570 --> 00:19:59,740 У нас есть MD5 хэш. 407 00:19:59,740 --> 00:20:01,880 И все, что нужно сделать, это просто Google количество. 408 00:20:01,880 --> 00:20:03,940 >> Я даже не нужно вычислить себя. 409 00:20:03,940 --> 00:20:06,790 Я могу только Google его, а кто-то уже сделал это для меня. 410 00:20:06,790 --> 00:20:08,010 Вот куча из них. 411 00:20:08,010 --> 00:20:09,260 Вот куча паролей. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Так определенно не использовать MD5 хэш, потому что все вы должны 414 00:20:18,680 --> 00:20:19,140 сделать, это Google это. 415 00:20:19,140 --> 00:20:20,390 Так что же вы хотите использовать вместо этого? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 ОК. 418 00:20:30,170 --> 00:20:31,260 То, что называется засолки. 419 00:20:31,260 --> 00:20:32,460 Так что соления является - 420 00:20:32,460 --> 00:20:36,280 вы, ребята, помните, когда мы были говорить о случайных в - 421 00:20:36,280 --> 00:20:37,920 Я не уверен, что PSet это было - 422 00:20:37,920 --> 00:20:41,140 был он PSet там или четыре? 423 00:20:41,140 --> 00:20:45,150 >> Мы говорили о поиске Иголка в стоге сена. 424 00:20:45,150 --> 00:20:48,480 И в PSet, он сказал, что вы могли бы на самом деле выяснить, что случайная 425 00:20:48,480 --> 00:20:51,840 генерирует, потому что кто-то уже побежал случайные миллион раз и просто 426 00:20:51,840 --> 00:20:53,230 рода сформировали то, что они производят. 427 00:20:53,230 --> 00:20:55,840 То, что вы хотите сделать, это положить в входе. 428 00:20:55,840 --> 00:20:57,130 Так вот что соления рода есть. 429 00:20:57,130 --> 00:21:00,900 Они уже поняли, что соления возвращает для каждой работы. 430 00:21:00,900 --> 00:21:04,750 >> Так что соления делает вы положили в соли. 431 00:21:04,750 --> 00:21:06,160 Вы кладете в определенном слова. 432 00:21:06,160 --> 00:21:09,720 И это будет хэш это слово в зависимости от того, что вы положили в здесь. 433 00:21:09,720 --> 00:21:13,570 Так что если я хэш пароля один с этим Приговор, он собирается хэш 434 00:21:13,570 --> 00:21:17,180 иначе, если я хэш пароль1 с другим предложением. 435 00:21:17,180 --> 00:21:21,670 Это своего рода дает его куда-то начать для хеширования, чтобы начать. 436 00:21:21,670 --> 00:21:25,970 Так что это намного сложнее вычислить, но вы еще можно вычислить его, особенно 437 00:21:25,970 --> 00:21:26,830 если вы используете плохой соль. 438 00:21:26,830 --> 00:21:29,650 >> Люди уже также выяснили общие соли и выяснили 439 00:21:29,650 --> 00:21:31,500 что это оно и есть. 440 00:21:31,500 --> 00:21:34,980 Случайные соли намного лучше, но лучший способ заключается в использовании 441 00:21:34,980 --> 00:21:38,160 то, что называется склеп. 442 00:21:38,160 --> 00:21:40,480 И то, что склеп позволяет делать - так что эти функции являются 443 00:21:40,480 --> 00:21:41,820 уже построены для вас. 444 00:21:41,820 --> 00:21:44,910 Многие забывают, что, или они забывают использовать его. 445 00:21:44,910 --> 00:21:54,520 Но если я смотрю склеп PHP, склеп уже возвращает хэш-строка для меня. 446 00:21:54,520 --> 00:21:58,790 И это на самом деле солит его много раз и хэши его много раз. 447 00:21:58,790 --> 00:22:00,070 >> Так что мы не должны делать это. 448 00:22:00,070 --> 00:22:04,790 Все, что Вам нужно сделать, это отправить его в склепе. 449 00:22:04,790 --> 00:22:08,170 И это создаст большую хэш без Вы беспокоясь о соли 450 00:22:08,170 --> 00:22:08,990 или что-нибудь. 451 00:22:08,990 --> 00:22:12,000 Потому что, если бы вы были соли это, у вас есть помнить, что соль вы использовали 452 00:22:12,000 --> 00:22:13,800 потому что если нет, то вы не можете получить ваш пароля обратно без 453 00:22:13,800 --> 00:22:15,760 соль, которую вы использовали. 454 00:22:15,760 --> 00:22:17,010 ОК. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> А также личный идентифицировать информация. 457 00:22:23,150 --> 00:22:26,730 Так социального страхования, кредитных карт - это довольно очевидно. 458 00:22:26,730 --> 00:22:31,880 Но иногда люди забывают, как она Работы есть, сколько информации вы 459 00:22:31,880 --> 00:22:35,690 на самом деле нужно найти какой-то один человек? 460 00:22:35,690 --> 00:22:37,740 Кто-то провел исследование о это путь назад. 461 00:22:37,740 --> 00:22:40,870 И это было, если у вас есть полное имя, вы не можете найти 462 00:22:40,870 --> 00:22:41,610 кто-то, что легко. 463 00:22:41,610 --> 00:22:43,900 Но что, если у вас есть полное имя и даты их рождения? 464 00:22:43,900 --> 00:22:47,770 Достаточно ли этого, чтобы определить кто-то специально? 465 00:22:47,770 --> 00:22:52,760 >> Что делать, если у вас есть свое имя и адрес, что они живут на? 466 00:22:52,760 --> 00:22:55,110 Достаточно ли этого, чтобы найти кого-то? 467 00:22:55,110 --> 00:23:02,490 И вот, когда они подвергают сомнению, что личная идентификационная информация, а 468 00:23:02,490 --> 00:23:05,360 что вы должны беспокоиться о не раздавать? 469 00:23:05,360 --> 00:23:08,770 Если вы отдаете ничего идентифицируемых информация, что кто-то дает вам, 470 00:23:08,770 --> 00:23:11,420 вы могли бы потенциально получить иск. 471 00:23:11,420 --> 00:23:12,610 И мы, безусловно, не хотим этого. 472 00:23:12,610 --> 00:23:14,955 >> Поэтому, когда вы кладете свой сайт вне, и вы действительно здорово 473 00:23:14,955 --> 00:23:17,230 дизайн, мы надеемся, вы сделали удивительный окончательный проект. 474 00:23:17,230 --> 00:23:18,370 Любой вы как бы хотите поставить его там. 475 00:23:18,370 --> 00:23:21,420 Вы хотите, чтобы убедиться, что все вы принимаете от пользователя, если это 476 00:23:21,420 --> 00:23:25,310 личная идентификационная информация, вы хотите убедиться, что вы будучи действительно 477 00:23:25,310 --> 00:23:26,560 осторожны с ним. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Shell впрыска. 480 00:23:31,080 --> 00:23:31,350 ОК. 481 00:23:31,350 --> 00:23:37,590 Shell впрыска позволяет злоумышленнику получить доступ к вашей фактической командной строки 482 00:23:37,590 --> 00:23:39,660 в вашем сервере. 483 00:23:39,660 --> 00:23:44,060 И так он в состоянии выполнять код что вы не можете контролировать. 484 00:23:44,060 --> 00:23:49,560 Давайте возьмем пример этого красивая строка прямо здесь. 485 00:23:49,560 --> 00:23:55,570 Если мы идем на сайт снова, я буду вдаваться в внедрения кода. 486 00:23:55,570 --> 00:23:58,910 Так что же это делает - 487 00:23:58,910 --> 00:24:00,420 это также то, что мы были глядя на перед. 488 00:24:00,420 --> 00:24:11,200 Мы позволяя пользователю поставить в любой он хочет, и он будет распечатать 489 00:24:11,200 --> 00:24:12,220 что вы хотите. 490 00:24:12,220 --> 00:24:13,890 >> Так что я собираюсь поставить на звонок. 491 00:24:13,890 --> 00:24:15,540 Это нужно, - 492 00:24:15,540 --> 00:24:16,940 он начнет путем объединения. 493 00:24:16,940 --> 00:24:19,520 Так что позволит мне работать независимо Команда Запуск человека 494 00:24:19,520 --> 00:24:21,500 до и моя команда. 495 00:24:21,500 --> 00:24:23,980 И я бегу системную команду. 496 00:24:23,980 --> 00:24:27,310 И эти последние строки - помню то, что я говорил с вами, ребята о, 497 00:24:27,310 --> 00:24:31,725 в то время как у вас есть для кодирования это в методе URL. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Если я запускаю это сейчас - 500 00:24:36,992 --> 00:24:39,150 Я покажу вам сюда - 501 00:24:39,150 --> 00:24:41,100 вы увидите, что я закончил до запуска команды. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> На самом деле это фактическое сервер что мой сайт работает на. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Таким образом, мы не хотим, чтобы, потому что я могу работать - 506 00:24:58,510 --> 00:25:00,320 этот сервер не мое. 507 00:25:00,320 --> 00:25:04,030 Так что я не хочу испортить его сестра, сервер Маркуса. 508 00:25:04,030 --> 00:25:07,470 Но вы можете запустить несколько команд что опасны. 509 00:25:07,470 --> 00:25:11,885 И потенциально, можно удалить файлы, удалять каталоги. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Я могу удалить определенный каталог, если Я хотел, но я не хочу 512 00:25:17,970 --> 00:25:19,530 сделать это с Маркусом. 513 00:25:19,530 --> 00:25:20,420 Он хороший парень. 514 00:25:20,420 --> 00:25:21,470 Он одолжил мне свой сервер. 515 00:25:21,470 --> 00:25:24,620 Так что я собираюсь позволить ему прочь на хороший. 516 00:25:24,620 --> 00:25:32,280 >> Так что мы не хотим использовать - мы не делаем хотите использовать Eval или системы. 517 00:25:32,280 --> 00:25:34,755 Eval или система позволяет сделать эти системные вызовы. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Кит средства оценки. 520 00:25:38,410 --> 00:25:40,790 Система означает, что я побежал. 521 00:25:40,790 --> 00:25:42,490 Этим управляет что-то в системе. 522 00:25:42,490 --> 00:25:46,730 Но мы можем объявить вне закона эти вещи в PHP, так что мы не используем их. 523 00:25:46,730 --> 00:25:47,400 И загрузка файлов. 524 00:25:47,400 --> 00:25:49,180 Я собирался сделать удивительный вещь с загрузки файлов. 525 00:25:49,180 --> 00:25:52,740 Но, как я сказал вам, ребята, мой файл Загрузка вещь не работает. 526 00:25:52,740 --> 00:25:54,590 Если бы мне пришлось загрузить файл прямо сейчас - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 если бы я был, чтобы загрузить файл, и это картина - 529 00:26:00,830 --> 00:26:03,180 у вас есть загрузки вещь вот картина. 530 00:26:03,180 --> 00:26:03,660 Это нормально. 531 00:26:03,660 --> 00:26:04,280 Ничего не происходит. 532 00:26:04,280 --> 00:26:10,840 >> Но если у вас есть загрузки файла, для пример, и пользователь действительно добавления 533 00:26:10,840 --> 00:26:19,220 файл PHP или исполняемый файл или что-то так, то вы могли бы потенциально 534 00:26:19,220 --> 00:26:19,740 есть проблема. 535 00:26:19,740 --> 00:26:21,390 Это работает до. 536 00:26:21,390 --> 00:26:25,202 К сожалению для меня, это не работает больше. 537 00:26:25,202 --> 00:26:30,230 Если я, например, загрузить этот файл, я не получают разрешение на загрузку 538 00:26:30,230 --> 00:26:33,400 файл в связи с сервером не быть моим. 539 00:26:33,400 --> 00:26:38,670 Таким образом, парень действительно умен. 540 00:26:38,670 --> 00:26:39,610 >> Таким образом, мы не хотим - 541 00:26:39,610 --> 00:26:40,130 Я собираюсь показать вам, ребята - 542 00:26:40,130 --> 00:26:41,840 ОК, это лишь некоторые действительно здорово инструменты. 543 00:26:41,840 --> 00:26:45,100 Таким образом, эти - 544 00:26:45,100 --> 00:26:47,715 идти в - если вы, ребята, Firefox - надеюсь вы делаете. 545 00:26:47,715 --> 00:26:54,260 Там две дополнения называемые SQL Inject Я и Cross-Site Script меня. 546 00:26:54,260 --> 00:26:56,870 Они открывают как мало сторону бары на стороне. 547 00:26:56,870 --> 00:27:01,480 И если я должен был пойти в CS60 например - 548 00:27:01,480 --> 00:27:04,210 так, что он делает это выглядит для все формы, которые - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 надеюсь, я не буду получать в беде для этого. 551 00:27:08,760 --> 00:27:09,190 >> Но ОК. 552 00:27:09,190 --> 00:27:12,600 Вот контактный системы. 553 00:27:12,600 --> 00:27:18,946 Поэтому, когда я начинаю искать отверстия в система, первое, что я делаю, это 554 00:27:18,946 --> 00:27:21,820 открыть этот красивый небольшой инструмент на стороне. 555 00:27:21,820 --> 00:27:24,160 И я собираюсь проверить формы с авто атак. 556 00:27:24,160 --> 00:27:28,510 И так, что это делает он будет медленно открыть кучу браузеров. 557 00:27:28,510 --> 00:27:29,930 Вот куча браузеров. 558 00:27:29,930 --> 00:27:33,320 И он пытается каждый комбинацию из межсайтовый скриптинг 559 00:27:33,320 --> 00:27:37,380 что возможно есть, если вы видите на стороне. 560 00:27:37,380 --> 00:27:42,080 >> И это даст мне результат вроде того, что ответ на этот вопрос. 561 00:27:42,080 --> 00:27:42,860 Все пройдет. 562 00:27:42,860 --> 00:27:43,910 Очевидно, что все они проходят. 563 00:27:43,910 --> 00:27:46,190 Я имею в виду, что они очень умные люди там. 564 00:27:46,190 --> 00:27:48,010 Но если бы мне пришлось работать - 565 00:27:48,010 --> 00:27:52,050 У меня было раз, прежде чем, когда я запускаю это на конечных студенческих проектов. 566 00:27:52,050 --> 00:27:56,080 Я просто запустить SQL Введите Меня все разные атак. 567 00:27:56,080 --> 00:28:00,080 И он пытается SQL Inject этот вывод сервер. 568 00:28:00,080 --> 00:28:03,590 Так что, если мы прокрутите вниз, для Например, он говорит - 569 00:28:03,590 --> 00:28:04,960 это хорошо, если она возвращает. 570 00:28:04,960 --> 00:28:08,250 >> Так что проверили некоторые определенные значения. 571 00:28:08,250 --> 00:28:11,170 И сервер вернул Код, который был отрицательным. 572 00:28:11,170 --> 00:28:11,780 Удалить временно. 573 00:28:11,780 --> 00:28:13,030 Это хорошо. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Он пытается все эти тесты. 576 00:28:20,750 --> 00:28:21,790 Таким образом, можно просто запустить - 577 00:28:21,790 --> 00:28:27,860 Я хотел бы найти сайт агенства быстро, что позволит мне - 578 00:28:27,860 --> 00:28:29,110 может быть, CS50 магазин. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Ничего себе, это будет принять слишком долго. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Я дам первый тест не закончить прав. 583 00:28:55,130 --> 00:28:57,330 Так что это жаловаться. 584 00:28:57,330 --> 00:28:58,470 Таким образом, эти три вещи. 585 00:28:58,470 --> 00:29:00,430 Эти инструменты являются бесплатными. 586 00:29:00,430 --> 00:29:03,960 Вы можете скачать их и запустить их на ваш сайт, и он скажет вам, если 587 00:29:03,960 --> 00:29:06,650 у вас есть кросс-Site Scripting, если у вас есть SQL, если у вас есть 588 00:29:06,650 --> 00:29:07,900 что-то подобное. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Я как бы испортить. 591 00:29:14,500 --> 00:29:15,550 >> Что важно - 592 00:29:15,550 --> 00:29:17,900 Итак, никогда не доверяйте пользователю. 593 00:29:17,900 --> 00:29:21,920 Независимо пользователь вводит для вас, сделать что вы дезинфицировать его, вы очистите его, 594 00:29:21,920 --> 00:29:25,300 Вы проверьте правильные вещи, что это дает вам то, что вы 595 00:29:25,300 --> 00:29:28,240 хочу, чтобы он дал вам. 596 00:29:28,240 --> 00:29:32,460 Всегда быть в курсе того, что рамки что вы на самом деле с помощью. 597 00:29:32,460 --> 00:29:34,630 Если вы используете что-то вроде начальной загрузки - 598 00:29:34,630 --> 00:29:36,340 Я знаю, вы, ребята, собираетесь использовать загружаться, потому что он собирается пойти 599 00:29:36,340 --> 00:29:38,140 над этим в ближайшее время в классе - 600 00:29:38,140 --> 00:29:43,120 и Wordpress или что-то в этом роде, обычно это может быть взломан. 601 00:29:43,120 --> 00:29:44,770 >> И тогда вы даже не знаете. 602 00:29:44,770 --> 00:29:45,800 Ты просто работает свой сайт. 603 00:29:45,800 --> 00:29:47,360 И это совершенно безопасно. 604 00:29:47,360 --> 00:29:51,730 И вы идете вниз. 605 00:29:51,730 --> 00:29:54,000 Так что я на рыбалку очень рано. 606 00:29:54,000 --> 00:29:55,770 Но я хочу поблагодарить PenTest Labs. 607 00:29:55,770 --> 00:29:58,140 Я собираюсь показать вам, ребята что-то называется PenTest Labs. 608 00:29:58,140 --> 00:30:05,000 Если вы, ребята действительно заинтересованы в что безопасность на самом деле, есть 609 00:30:05,000 --> 00:30:07,300 веб-сайт под PenTest Labs если вы, ребята, идти к ней прямо сейчас. 610 00:30:07,300 --> 00:30:10,730 Ну, это не то. 611 00:30:10,730 --> 00:30:12,030 Я просто хочу, чтобы запустить его, как это. 612 00:30:12,030 --> 00:30:14,400 Google говорит мне ответ. 613 00:30:14,400 --> 00:30:16,590 >> ОК. 614 00:30:16,590 --> 00:30:19,030 И она учит использовать вас - так это говорит, научиться веб-проникновение 615 00:30:19,030 --> 00:30:21,060 тестирование на правильном пути. 616 00:30:21,060 --> 00:30:23,650 Она учит, - 617 00:30:23,650 --> 00:30:25,150 надеюсь, вы нравственной личностью. 618 00:30:25,150 --> 00:30:29,200 Но она учит, как вы можете посмотреть на как вы можете получить внутри веб-сайтов. 619 00:30:29,200 --> 00:30:31,130 И если вы узнаете, как можно попасть внутрь сайты, вы можете узнать, как 620 00:30:31,130 --> 00:30:34,960 защитить себя от получения внутри веб-сайтов. 621 00:30:34,960 --> 00:30:39,100 Позвольте мне увеличения, потому что, может быть, вы, ребята, не глядя на это право. 622 00:30:39,100 --> 00:30:46,350 >> От инъекции SQL раскошелиться, так рода, как я могу получить от SQL 623 00:30:46,350 --> 00:30:48,530 впрыска раскошелиться. 624 00:30:48,530 --> 00:30:53,890 И вы скачать эту виртуальную машину. 625 00:30:53,890 --> 00:30:55,690 И виртуальная машина уже идет с веб-сайтом, что ты 626 00:30:55,690 --> 00:30:56,780 собираюсь попробовать его. 627 00:30:56,780 --> 00:30:58,030 Вы скачать этот файл PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 И он покажет вам построчно, что что вам нужно сделать, что вы проверить. 630 00:31:08,370 --> 00:31:14,560 Это то, что злоумышленник на самом деле делает, чтобы попасть внутрь сайте. 631 00:31:14,560 --> 00:31:15,750 >> И некоторые из этих вещей является сложным. 632 00:31:15,750 --> 00:31:17,520 Я хотел бы перейти более вещи с вами, ребята. 633 00:31:17,520 --> 00:31:21,090 Но я волнуюсь, что вы, ребята, есть на самом деле не - 634 00:31:21,090 --> 00:31:23,090 это то, что я подошел с вы, ребята, веб-тесты 635 00:31:23,090 --> 00:31:26,830 для тестирования на проникновение. 636 00:31:26,830 --> 00:31:33,540 Не знаю, что SQL является и то, что - 637 00:31:33,540 --> 00:31:35,960 Семинар Карла Джексона потрясающая также. 638 00:31:35,960 --> 00:31:37,360 Вы, ребята, не знаю, вроде о том, что это такое. 639 00:31:37,360 --> 00:31:39,450 Но если вы идете на этот сайт, и вы скачать эти обучающие программы и их 640 00:31:39,450 --> 00:31:43,290 PDF-файлы, вы можете взглянуть на своего рода что площадь безопасности действительно 641 00:31:43,290 --> 00:31:46,940 в тестирование на проникновение, посмотреть, как вы можете получить внутри веб-сайтов и защиты 642 00:31:46,940 --> 00:31:48,020 себя от него. 643 00:31:48,020 --> 00:31:56,360 >> Так что если я делаю супер быстрый обзор, это будет предотвратить кросс-Site Scripting. 644 00:31:56,360 --> 00:32:00,160 Вы хотите использовать HTMLSpecialChars каждый тайм пользователь вводит что-то. 645 00:32:00,160 --> 00:32:01,580 Предотвращение инъекции SQL. 646 00:32:01,580 --> 00:32:04,510 Если вы сделаете это, вы уже лучше, чем Гарвард был 647 00:32:04,510 --> 00:32:06,530 когда они получили нарушены. 648 00:32:06,530 --> 00:32:10,510 И убедитесь, что ваши пароли не в виде обычного текста. 649 00:32:10,510 --> 00:32:16,220 Убедитесь, что вы не только один способ хэш их, но что вы используете склеп, PHP 650 00:32:16,220 --> 00:32:18,670 функция, я показал вам, ребята. 651 00:32:18,670 --> 00:32:20,060 Таким образом, вы должны быть хорошо. 652 00:32:20,060 --> 00:32:25,830 >> Кроме того, если ваши друзья позволяют, работать SQL Введите меня на своих сайтах. 653 00:32:25,830 --> 00:32:28,140 Запустите межсайтовый скриптинг на своих сайтах. 654 00:32:28,140 --> 00:32:33,720 И вы увидите, многие из этих сайтов есть тонна уязвимостей. 655 00:32:33,720 --> 00:32:40,400 Это невероятно, насколько люди забывают для дезинфекции свои базы данных или сделать 656 00:32:40,400 --> 00:32:46,340 уверен, что ввода человека не код сценария. 657 00:32:46,340 --> 00:32:47,200 ОК. 658 00:32:47,200 --> 00:32:49,182 Я, конечно, закончился очень рано. 659 00:32:49,182 --> 00:32:56,510 Но если у кого есть вопросы по поводу ничего, что вы можете снимать мне вопрос. 660 00:32:56,510 --> 00:32:56,630 Да. 661 00:32:56,630 --> 00:32:56,970 Иди, иди. 662 00:32:56,970 --> 00:32:59,846 >> Зала: Я просто хочу спросить, Вы можете объяснить, как файл 663 00:32:59,846 --> 00:33:03,160 загрузить ровно работ. 664 00:33:03,160 --> 00:33:03,480 >> ЛУЧАНО Аранго: Да. 665 00:33:03,480 --> 00:33:06,350 Итак, позвольте мне показать вам файл загрузить реальный быстрый. 666 00:33:06,350 --> 00:33:11,300 Таким образом, загрузка файлов на сервер - 667 00:33:11,300 --> 00:33:14,500 проблема остроумие загрузку файлов прямо сейчас, что - 668 00:33:14,500 --> 00:33:18,541 Я собираюсь открыть код так вы, ребята, см. код за кулисами. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 И это загрузить. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Вот код файла пользователя. 673 00:33:31,560 --> 00:33:33,980 >> Мы пытаемся, чтобы войти в этот каталог здесь. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 И мы пытаемся, как только мы вход файл, Исеть файл - поэтому, когда есть 676 00:33:44,880 --> 00:33:50,900 подать в файлах, этот образ, то мы стараемся, чтобы переместить его здесь. 677 00:33:50,900 --> 00:33:51,910 Мы захватить файл здесь. 678 00:33:51,910 --> 00:33:58,350 Метод POST, тип, изображений и файлов. 679 00:33:58,350 --> 00:33:59,630 И мы посылаем этот файл. 680 00:33:59,630 --> 00:34:03,910 И то, как только мы получим его, поэтому, как только файл имеет образ, мы пытаемся, чтобы отправить его 681 00:34:03,910 --> 00:34:05,060 в этот каталог. 682 00:34:05,060 --> 00:34:09,814 >> Проблема в том, что веб-сайт не отпустил меня в этот каталог, 683 00:34:09,814 --> 00:34:12,239 потому что он не хочет, чтобы я вернулся. 684 00:34:12,239 --> 00:34:13,489 Она не хочет, чтобы я пошел - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Я должен идти - так вот загрузить. 687 00:34:17,070 --> 00:34:17,639 Вот изображения. 688 00:34:17,639 --> 00:34:21,780 Я должен пройти весь путь обратно в начиная и положил его там, а затем 689 00:34:21,780 --> 00:34:23,820 пойти и положить его в каталог. 690 00:34:23,820 --> 00:34:30,000 Так что, если я бежал окно терминала, и я хотел переместить файл - 691 00:34:30,000 --> 00:34:30,409 [Неразборчиво] 692 00:34:30,409 --> 00:34:32,159 вижу. 693 00:34:32,159 --> 00:34:37,940 Если бы я хотел, чтобы переместить файл, у меня есть поставить имя файла, а затем 694 00:34:37,940 --> 00:34:40,860 Полный путь я хочу, чтобы отправить его. 695 00:34:40,860 --> 00:34:45,110 >> И то сервер не давая мне вернуться. 696 00:34:45,110 --> 00:34:46,929 И поэтому он не позволяя мне добраться до этого файла. 697 00:34:46,929 --> 00:34:47,670 Но обычно - 698 00:34:47,670 --> 00:34:49,360 так что есть код загрузив файл. 699 00:34:49,360 --> 00:34:52,260 Так обычно то, что будет происходить в том, что человек не проверка, если мой файл 700 00:34:52,260 --> 00:34:57,920 заканчивается. JPEG, так что я хотели бы проверить. 701 00:34:57,920 --> 00:35:00,054 Позвольте мне открыть пример слишком реальный быстрый. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> ОК. 704 00:35:08,260 --> 00:35:09,230 Этот человек прав - 705 00:35:09,230 --> 00:35:11,980 так пример двух проверяет если preg_match - 706 00:35:11,980 --> 00:35:14,180 вот она здесь - 707 00:35:14,180 --> 00:35:19,660 чтобы убедиться, что заканчивается PHP, и это хорошо. 708 00:35:19,660 --> 00:35:20,580 Это хорошо. 709 00:35:20,580 --> 00:35:22,820 Но есть настоящий большой Проблема с этим. 710 00:35:22,820 --> 00:35:24,600 Это хорошо. 711 00:35:24,600 --> 00:35:44,190 Но если бы я должен был положить файл с именем myfavoritepicture.php.jpeg, я мог 712 00:35:44,190 --> 00:35:50,060 по-прежнему потенциально избавиться от JPEG и запустить it.k Это РНР опасно. 713 00:35:50,060 --> 00:35:53,850 Вы не хотите, чтобы человек, чтобы иметь возможность запустить код на своем сайте. 714 00:35:53,850 --> 00:35:55,750 >> Но тогда. JPEG пропускает. 715 00:35:55,750 --> 00:36:00,720 Идея состоит в том, что вы действительно хотите сделать не принимать файлы, А. Но, хорошо, что 716 00:36:00,720 --> 00:36:07,500 Вы действительно хотите сделать, это убедиться, что вы читаете над всем миром. 717 00:36:07,500 --> 00:36:08,720 И нет ничего. PHP в нем. 718 00:36:08,720 --> 00:36:10,500 Там нет. PHP в Весь имя файла. 719 00:36:10,500 --> 00:36:12,780 >> Зала: Но вы могли бы положить. JPEG на конце. 720 00:36:12,780 --> 00:36:15,830 Серверы еще запустить код. 721 00:36:15,830 --> 00:36:16,870 >> ЛУЧАНО Аранго: Нет, это не будет запустить в начале. 722 00:36:16,870 --> 00:36:22,310 Вы должны вернуться и попробовать чтобы увидеть, если вы можете - 723 00:36:22,310 --> 00:36:24,210 >> АУДИТОРИЯ: Итак, мы должны - 724 00:36:24,210 --> 00:36:26,020 ОК, просто еще один набор, который включает в себя - 725 00:36:26,020 --> 00:36:26,936 >> ЛУЧАНО Аранго: Да. 726 00:36:26,936 --> 00:36:29,230 >> АУДИТОРИЯ: ОК. 727 00:36:29,230 --> 00:36:31,486 >> ЛУЧАНО Аранго: Да. 728 00:36:31,486 --> 00:36:31,900 ОК. 729 00:36:31,900 --> 00:36:32,865 Любые другие вопросы? 730 00:36:32,865 --> 00:36:33,180 ОК. 731 00:36:33,180 --> 00:36:37,350 Я собираюсь оставить это и сортировать из попытаться увидеть, если вы, ребята, можете - 732 00:36:37,350 --> 00:36:40,490 другие из них немного больше осложняется тем, что они требуют гораздо 733 00:36:40,490 --> 00:36:44,050 более знание SQL, чем просто начиная знание веб-SQL является и 734 00:36:44,050 --> 00:36:47,010 что JavaScript является. 735 00:36:47,010 --> 00:36:49,730 Но я собираюсь попытаться держать это, и, надеюсь, вы, ребята, узнаете 736 00:36:49,730 --> 00:36:53,230 об этом и попытаться заглянуть в что вы можете сделать и сколько примеров 737 00:36:53,230 --> 00:36:54,420 вы можете получить через. 738 00:36:54,420 --> 00:36:56,020 >> Любой, есть любой другой вопросы об этом? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Идем дальше. 741 00:37:00,350 --> 00:37:01,170 Да, стрелять, стрелять. 742 00:37:01,170 --> 00:37:01,580 Да, идти вперед. 743 00:37:01,580 --> 00:37:01,850 Идем дальше. 744 00:37:01,850 --> 00:37:02,310 >> АУДИТОРИЯ: ОК. 745 00:37:02,310 --> 00:37:08,870 Я слышал о том, как волшебные кавычки не достаточно безопасно. 746 00:37:08,870 --> 00:37:09,280 >> ЛУЧАНО Аранго: Что - 747 00:37:09,280 --> 00:37:10,110 Волшебные кавычки? 748 00:37:10,110 --> 00:37:10,595 >> АУДИТОРИЯ: Да. 749 00:37:10,595 --> 00:37:15,445 Так он добавляет - поэтому, когда вы вводите что-то, он всегда добавляет кавычки. 750 00:37:15,445 --> 00:37:15,930 >> ЛУЧАНО Аранго: Да. 751 00:37:15,930 --> 00:37:16,000 Да. 752 00:37:16,000 --> 00:37:16,496 ОК. 753 00:37:16,496 --> 00:37:19,113 >> АУДИТОРИЯ: И тогда я, однако, что работал, но тогда я искал его. 754 00:37:19,113 --> 00:37:21,648 И он сказал, что это не хорошо. 755 00:37:21,648 --> 00:37:23,050 Но я не знаю, почему. 756 00:37:23,050 --> 00:37:23,360 >> ЛУЧАНО Аранго: Да. 757 00:37:23,360 --> 00:37:26,240 >> АУДИТОРИЯ: Не использовать волшебные кавычки, потому что это не безопасно. 758 00:37:26,240 --> 00:37:26,360 >> ЛУЧАНО Аранго: ОК. 759 00:37:26,360 --> 00:37:31,735 Так волшебные кавычки, когда вы вставляете SQL а это уже добавляет смету для вас. 760 00:37:31,735 --> 00:37:33,520 >> АУДИТОРИЯ: Это всегда добавляет кавычки вокруг все, что вы вставил 761 00:37:33,520 --> 00:37:34,210 >> ЛУЧАНО Аранго: Да. 762 00:37:34,210 --> 00:37:37,190 Таким образом, проблема в том, что - 763 00:37:37,190 --> 00:37:38,445 Я взглянуть на - 764 00:37:38,445 --> 00:37:41,390 >> АУДИТОРИЯ: Как это приобрести SQL заявление? 765 00:37:41,390 --> 00:37:44,690 Или я предполагаю, что это может быть как цитата выбрать. 766 00:37:44,690 --> 00:37:49,030 >> ЛУЧАНО Аранго: Да, вам нужно хороших цитат для SQL. 767 00:37:49,030 --> 00:37:52,900 >> АУДИТОРИЯ: Нет, но сервер сделает это за вас. 768 00:37:52,900 --> 00:37:54,460 >> ЛУЧАНО Аранго: Эти маленькие котировки прямо здесь, эти маленькие котировки? 769 00:37:54,460 --> 00:37:55,670 >> АУДИТОРИЯ: Да. 770 00:37:55,670 --> 00:37:56,450 >> ЛУЧАНО Аранго: Да. 771 00:37:56,450 --> 00:37:59,860 Проблема в том, что вы можете закомментируйте последний - 772 00:37:59,860 --> 00:38:05,770 Хорошо, таким образом, что я могу сделать, это я могу прокомментировать из - так что давайте взглянем на - пусть мне 773 00:38:05,770 --> 00:38:07,920 открыть файл ввода текста. 774 00:38:07,920 --> 00:38:09,610 Позвольте мне просто изменить эту прямо здесь напрямую. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 ОК. 777 00:38:20,400 --> 00:38:23,710 Можете ли вы, ребята, видите, что четко? 778 00:38:23,710 --> 00:38:29,730 Что я могу сделать, это я могу прокомментировать из последнего. 779 00:38:29,730 --> 00:38:32,190 Это закомментируйте последнюю. 780 00:38:32,190 --> 00:38:36,760 И тогда я положу один здесь, положить здесь все злые вещи. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Таким образом, пользователь на самом деле ввода, верно? 783 00:38:42,630 --> 00:38:45,230 Пользователь не вводя вещи, верно? 784 00:38:45,230 --> 00:38:47,430 Это то, что я собираюсь входа как человек пытается проникнуть внутрь. 785 00:38:47,430 --> 00:38:49,430 Я собираюсь поставить в - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 это одна кавычка. 788 00:39:00,180 --> 00:39:01,760 Это просто волнистые по ошибке. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 А потом, что код собирается сделать - 791 00:39:19,400 --> 00:39:20,190 жаль, я собираюсь взять это. 792 00:39:20,190 --> 00:39:22,170 Что код собираюсь сделать, это он собирается добавить первый 793 00:39:22,170 --> 00:39:24,030 кавычки здесь. 794 00:39:24,030 --> 00:39:26,040 И он собирается добавить последний кавычки, а также. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> И это также собирается добавить Наконец, в прошлом кавычки. 797 00:39:33,270 --> 00:39:37,380 Но я комментируя эти цитаты выделяет, поэтому они не работают. 798 00:39:37,380 --> 00:39:41,440 И я заканчиваю эту цитату пометить здесь. 799 00:39:41,440 --> 00:39:42,290 Вы понимаете? 800 00:39:42,290 --> 00:39:43,750 Вы потеряли? 801 00:39:43,750 --> 00:39:45,880 Я могу прокомментировать последнюю цитату знак, и заботиться о 802 00:39:45,880 --> 00:39:46,680 Первый кавычки. 803 00:39:46,680 --> 00:39:47,350 >> АУДИТОРИЯ: И так же, отделка первый. 804 00:39:47,350 --> 00:39:47,480 >> ЛУЧАНО Аранго: Да. 805 00:39:47,480 --> 00:39:48,400 И просто закончить первый. 806 00:39:48,400 --> 00:39:48,790 Да, это верно. 807 00:39:48,790 --> 00:39:50,800 Это то, что я могу сделать. 808 00:39:50,800 --> 00:39:51,890 Да. 809 00:39:51,890 --> 00:39:52,980 Любые другие вопросы, как, что? 810 00:39:52,980 --> 00:39:54,230 Это большой вопрос. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Нет, да, может быть. 813 00:39:59,790 --> 00:40:06,150 Будем надеяться, что вы, ребята, будет своего рода делают больше смысла, когда вы изучаете SQL и 814 00:40:06,150 --> 00:40:06,650 такие вещи, как, что. 815 00:40:06,650 --> 00:40:07,980 Но убедитесь, что вы - 816 00:40:07,980 --> 00:40:10,340 держать эти средства в часы. 817 00:40:10,340 --> 00:40:12,760 К сожалению, эти инструменты более здесь. 818 00:40:12,760 --> 00:40:14,200 Эти инструменты являются большими. 819 00:40:14,200 --> 00:40:17,190 Если у кого есть какие-либо вопросы, Вы также можете по электронной почте мне. 820 00:40:17,190 --> 00:40:19,020 Это мой нормальный адрес электронной почты. 821 00:40:19,020 --> 00:40:25,015 А это мой рабочий адрес электронной почты, который когда я работаю на морях. 822 00:40:25,015 --> 00:40:26,040 >> Хорошо, спасибо. 823 00:40:26,040 --> 00:40:26,740 Спасибо, ребята. 824 00:40:26,740 --> 00:40:27,860 Ты хорошо идти. 825 00:40:27,860 --> 00:40:28,830 Вы не должны остаться здесь. 826 00:40:28,830 --> 00:40:29,570 Не хлопать. 827 00:40:29,570 --> 00:40:30,170 Это странно. 828 00:40:30,170 --> 00:40:31,420 Хорошо, спасибо, ребята. 829 00:40:31,420 --> 00:40:32,320