1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANO Arango: OK, fantje. 3 00:00:10,300 --> 00:00:11,550 Moje ime je Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Jaz sem letniku v Adams House. 5 00:00:13,915 --> 00:00:17,550 In bomo morali govoriti o Spletna varnost aktivne obrambe. 6 00:00:17,550 --> 00:00:24,220 Torej, delam za Urad za informiranje Varnost na morju. 7 00:00:24,220 --> 00:00:28,670 In čez poletje, sem se potikala po SeguraTec, ki je bila informacija 8 00:00:28,670 --> 00:00:31,310 varnostno podjetje, ki je služilo Banki Columbia. 9 00:00:31,310 --> 00:00:34,740 To je predvsem tam, kjer sem se naučil kar sem do zdaj naučili. 10 00:00:34,740 --> 00:00:37,990 >> In tako nekaj materiala, da smo bo šel čez danes nismo 11 00:00:37,990 --> 00:00:39,670 res govorili v razredu. 12 00:00:39,670 --> 00:00:40,410 Vendar bomo kmalu. 13 00:00:40,410 --> 00:00:42,360 To se dogaja, da se kot SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 In nismo zares šli preko njega. 15 00:00:44,870 --> 00:00:47,730 Tako da sem lahko razvrstite letenja skozi njo, in morda ne boste vedeli, nekatere stvari. 16 00:00:47,730 --> 00:00:48,890 Toda kmalu, boš naučiti. 17 00:00:48,890 --> 00:00:52,080 In to bo vse smisla. 18 00:00:52,080 --> 00:00:54,010 Prav tako še ena stvar - 19 00:00:54,010 --> 00:00:55,780 ostati etično. 20 00:00:55,780 --> 00:01:00,560 Nekatere stvari, ki jih učijo, si lahko uporabite v ne-etičnih načinov. 21 00:01:00,560 --> 00:01:01,950 >> Če je tvoje, je vsekakor treba poskusiti. 22 00:01:01,950 --> 00:01:04,500 Jaz zagotovo motivirati vaju da preizkusite svoje strežnike, poskusite 23 00:01:04,500 --> 00:01:05,519 dogaja v njih. 24 00:01:05,519 --> 00:01:08,500 Bomo videli, če jih lahko prodrejo, če lahko dobite v njih. 25 00:01:08,500 --> 00:01:09,560 Ne pa kdo drug. 26 00:01:09,560 --> 00:01:12,390 Policaji ne res všeč šale in cele, to smo tukaj čaka. 27 00:01:12,390 --> 00:01:14,040 Smo se zajebavati. 28 00:01:14,040 --> 00:01:15,780 Dobijo res jezen. 29 00:01:15,780 --> 00:01:18,700 >> Torej, nad glavo, da te spletne strani. 30 00:01:18,700 --> 00:01:23,560 Imam jo odprl tukaj. 31 00:01:23,560 --> 00:01:26,780 To je spletna stran, in to ima kup primerov. 32 00:01:26,780 --> 00:01:30,000 Kaj se zgodi, da prvi primer je neke vrste bo veliko lažje 33 00:01:30,000 --> 00:01:33,470 kot zadnji primer v smislu da prvi primer 34 00:01:33,470 --> 00:01:34,970 je popolnoma negotov. 35 00:01:34,970 --> 00:01:40,850 In zadnja je nekako tisto, normalna spletni varnosti oseba bi naredil. 36 00:01:40,850 --> 00:01:42,760 Vendar pa lahko še vedno nekako za priti okoli tega. 37 00:01:42,760 --> 00:01:44,860 In bomo s poudarkom na eni in dva, primeri ena in dva. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Začnimo z cross-site scripting. 41 00:01:52,780 --> 00:01:56,100 JavaScript se izvaja na Brskalnik komitenta. 42 00:01:56,100 --> 00:01:59,980 To je programski jezik, ki ga uporabljate teči v brskalniku stranke tako 43 00:01:59,980 --> 00:02:04,120 vam ni treba posodobiti spletno stran in pojdite nazaj na strežnik. 44 00:02:04,120 --> 00:02:04,940 Imate to tekmovanje v teku. 45 00:02:04,940 --> 00:02:08,870 Na primer, Facebook, nimate da osvežite spletno stran za novega statusa 46 00:02:08,870 --> 00:02:09,710 posodobitve, da pridejo gor. 47 00:02:09,710 --> 00:02:12,170 To je z uporabo JavaScript za ustvarjanje vse te stvari. 48 00:02:12,170 --> 00:02:16,290 Tako bomo lahko injicirali zlonamerno JavaScript na spletnih straneh. 49 00:02:16,290 --> 00:02:20,890 In na ta način, ko smo poslali povezavo kdo bi lahko nekako ga poslati z 50 00:02:20,890 --> 00:02:23,050 nekaj kode, ki jo želimo. 51 00:02:23,050 --> 00:02:26,450 >> Tam je obstojna in ne-obstojna JavaScript - 52 00:02:26,450 --> 00:02:30,640 obstojne in niso obstojne cross-site skripte, mislim. 53 00:02:30,640 --> 00:02:33,760 In razlika je v tem, da je obstojna javascript, da bo 54 00:02:33,760 --> 00:02:36,060 shranjene na spletni strani. 55 00:02:36,060 --> 00:02:39,780 In ne-obstojna bodo JavaScript , ki bo dejansko zgodi samo enkrat. 56 00:02:39,780 --> 00:02:41,795 Zato si oglejmo primer resnično hitro. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Tako da je ta spletna stran, preprosto, nič ne zgodi tukaj. 60 00:02:51,620 --> 00:02:53,070 In bomo poskušali vstaviti nekaj JavaScript. 61 00:02:53,070 --> 00:02:58,110 Torej, pot začnemo pisati JavaScript se začnemo z začetkom scenarij. 62 00:02:58,110 --> 00:03:00,570 In smo jo zaprite s scenarij. 63 00:03:00,570 --> 00:03:03,770 Mi smo preprosto bo dal sporočilo - 64 00:03:03,770 --> 00:03:05,410 Pokazal vam bom - 65 00:03:05,410 --> 00:03:06,500 opozorilo. 66 00:03:06,500 --> 00:03:11,150 Alert je funkcija, ki JavaScript uporablja za prikaz nekaj. 67 00:03:11,150 --> 00:03:12,400 Torej, poskusimo to zelo hitro. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Jaz grem, opozarjanje zdravo. 70 00:03:18,944 --> 00:03:20,400 No, pozabil sem dati - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Tako da je preprosta. 74 00:03:26,540 --> 00:03:28,730 >> Mi je dal JavaScript na spletni strani, in je prišel gor. 75 00:03:28,730 --> 00:03:31,200 In to nekako zgodi le na naši spletni strani, kajne? 76 00:03:31,200 --> 00:03:33,040 Tako se zdi, kot da je ni problem, kajne? 77 00:03:33,040 --> 00:03:34,920 Mislim, kako lahko uporabite to zlonamerno? 78 00:03:34,920 --> 00:03:39,930 Torej tako, da hekerji storiti to je res preprosto. 79 00:03:39,930 --> 00:03:40,970 Ti boš, da jo zgrabi. 80 00:03:40,970 --> 00:03:43,750 Prav tako lahko pošljete to povezavo za vas. 81 00:03:43,750 --> 00:03:46,780 Če bom poslal to povezavo za teboj, in jo odprli, gre za 82 00:03:46,780 --> 00:03:51,620 pravijo, hello, pravijo, da je moja spletna stran je povedal zdravo. 83 00:03:51,620 --> 00:03:57,280 >> In tako, če bi bil jaz rečem nekaj, kar malo pametnejši, če potegnem gor 84 00:03:57,280 --> 00:03:59,880 JavaScript funkcijo nekako že napisal - 85 00:03:59,880 --> 00:04:03,940 ampak če pogledaš na to, bom šel Je konec, preden sem ga napisal. 86 00:04:03,940 --> 00:04:06,650 Torej bomo nastavili zakasnitev. 87 00:04:06,650 --> 00:04:08,450 Bomo počakati par sekund. 88 00:04:08,450 --> 00:04:13,970 Dejstvo je, da bomo počakati, če Se ne motim, pet sekund. 89 00:04:13,970 --> 00:04:15,870 To gre v milisekundah. 90 00:04:15,870 --> 00:04:18,640 In kaj bomo storili potem, je, da smo gre za opozorilo, da je prijava 91 00:04:18,640 --> 00:04:21,459 potekla, da se prijavite nazaj noter 92 00:04:21,459 --> 00:04:23,990 In bomo spremenili lokacijo na drugo mesto. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Torej, če mi pošljete to spletno stran, da nekdo, oni bo 95 00:04:32,970 --> 00:04:34,380 brskanjem okoli, miren. 96 00:04:34,380 --> 00:04:35,650 Nič se ne dogaja. 97 00:04:35,650 --> 00:04:38,550 In v petih sekundah, gre se pravi, vaša prijava je potekla. 98 00:04:38,550 --> 00:04:40,200 Prosimo, prijavite se nazaj noter 99 00:04:40,200 --> 00:04:43,400 Ko pa kliknite V redu, bom jih popeljal na drugo spletno stran. 100 00:04:43,400 --> 00:04:45,980 Domnevam, spletna stran bo bilo podobno spletno stran, ki 101 00:04:45,980 --> 00:04:47,280 so bili v prej. 102 00:04:47,280 --> 00:04:50,770 In oni 'tekoč, da se prijavite njihovo mandatov v moji spletni strani, namesto 103 00:04:50,770 --> 00:04:51,850 njihovi spletni strani. 104 00:04:51,850 --> 00:04:54,780 >> In tako sem lahko pošiljate ljudem pošljite e-pošto s to povezavo. 105 00:04:54,780 --> 00:04:56,240 Sem rekel, oh, tu je povezava. 106 00:04:56,240 --> 00:04:57,290 To je banka, npr. 107 00:04:57,290 --> 00:05:01,390 Jaz pravim, tukaj, pojdite na to povezavo. 108 00:05:01,390 --> 00:05:03,730 In ko so ga poslali, oni bodo brskanje okoli. 109 00:05:03,730 --> 00:05:07,560 Ne morem čakati 15 sekund, 20 sekund, in potem pop, da se ponovno prijavite 110 00:05:07,560 --> 00:05:08,840 podpisati nazaj. 111 00:05:08,840 --> 00:05:10,120 Vidva lahko poskusite z Veliko več stvari. 112 00:05:10,120 --> 00:05:13,190 To je zapleteno, saj fantje niso videli JavaScript, tako da boste morda 113 00:05:13,190 --> 00:05:14,750 ne vem nekaterih funkcij. 114 00:05:14,750 --> 00:05:18,625 Ampak vse, kar morate storiti, je začetek s skripto, konča z scenarija. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 In bi si dal ničesar v sredini. 117 00:05:25,510 --> 00:05:27,350 >> Alert je funkcija, počakaj. 118 00:05:27,350 --> 00:05:29,365 Lokacija okno vas popelje na novo lokacijo. 119 00:05:29,365 --> 00:05:31,370 Vendar lahko to stori še veliko več. 120 00:05:31,370 --> 00:05:32,630 In tako zamisel je, da vzamemo, da je off. 121 00:05:32,630 --> 00:05:39,350 Če grem na primer dva, in jaz dal v to isto šifro, je 122 00:05:39,350 --> 00:05:40,210 Ne bo šlo. 123 00:05:40,210 --> 00:05:43,620 Torej, to je vse, tiskanje, ker kaj ta spletna stran je prvotno 124 00:05:43,620 --> 00:05:50,350 pa je, če sem kaj dal tukaj, da bomo natisnete tukaj. 125 00:05:50,350 --> 00:05:52,390 Torej, to ni nič tiskanje. 126 00:05:52,390 --> 00:05:55,560 Ta primer je dejansko preverjanje da vidim, če scenarij je tam. 127 00:05:55,560 --> 00:05:57,163 Torej, ja, pojdi naprej. 128 00:05:57,163 --> 00:05:57,606 Ask me. 129 00:05:57,606 --> 00:05:59,560 >> PUBLIKA: ne pošilja zaslužiti ali objaviti prošnjo? 130 00:05:59,560 --> 00:06:00,670 >> LUCIANO Arango: Ja. oni pošljete zahtevo dobil. 131 00:06:00,670 --> 00:06:01,350 >> PUBLIKA: Je res? 132 00:06:01,350 --> 00:06:02,490 >> LUCIANO Arango: Ja. 133 00:06:02,490 --> 00:06:04,030 Tudi brskalniki objavljate prošenj. 134 00:06:04,030 --> 00:06:07,470 Ampak sem poskušal pokazati zahtevke get tako da bomo lahko videli, kaj je 135 00:06:07,470 --> 00:06:10,760 dejansko dogaja. 136 00:06:10,760 --> 00:06:12,880 In tako, če gledamo na to kodo - tako da ne deluje več. 137 00:06:12,880 --> 00:06:24,870 In če pogledamo na to oznako, to se dogaja, da je v primeru dveh. 138 00:06:24,870 --> 00:06:29,300 Kaj ta človek počne, oseba vodja te brskalnika - 139 00:06:29,300 --> 00:06:35,370 odpirajo, OK - 140 00:06:35,370 --> 00:06:39,290 nadomešča besedo scenarij. 141 00:06:39,290 --> 00:06:42,850 To je PHP, ki bi lahko vidva so videli malo še. 142 00:06:42,850 --> 00:06:46,250 >> Pravkar je zamenjava Beseda skript z imenom. 143 00:06:46,250 --> 00:06:50,895 Torej, če pa grem naprej in samo dal v - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 če sem spet vzamem kodo, in bom lahko spremeni le malo. 146 00:07:02,360 --> 00:07:15,010 Namesto, da scenarij, bom spremenila je za Script s kapitalom R. And 147 00:07:15,010 --> 00:07:16,390 bomo videli, če je ta koda deluje. 148 00:07:16,390 --> 00:07:19,090 Torej ga ni izpisal, kar je dober znak. 149 00:07:19,090 --> 00:07:21,990 In upajmo, da v dve sekundi, da se bo pop up. 150 00:07:21,990 --> 00:07:22,820 >> Tvoja prijava je potekla. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 To je vse v redu. 153 00:07:24,460 --> 00:07:27,670 Tako preverjanje script je lahko ni nujno, da deluje. 154 00:07:27,670 --> 00:07:28,130 Oseba - 155 00:07:28,130 --> 00:07:32,290 pa lahko preverite tudi scenarij z velikimi črkami, Scenarij male črke, str primer 156 00:07:32,290 --> 00:07:34,180 primerjati, se prepričajte, da ste isti. 157 00:07:34,180 --> 00:07:38,480 Vendar pa lahko heker še vedno neke vrste, kar smo v Vigenere, ko smo se preselili 158 00:07:38,480 --> 00:07:40,620 nazaj nekaj znakov, napredovati. 159 00:07:40,620 --> 00:07:43,470 In lahko ugotovimo, kako postaviti skript nazaj notri, tako da lahko injicirali 160 00:07:43,470 --> 00:07:44,460 da scenarij. 161 00:07:44,460 --> 00:07:50,370 >> Torej, kaj želite uporabiti je htmlspecialchars za 162 00:07:50,370 --> 00:07:51,330 zaščito vaše spletne strani. 163 00:07:51,330 --> 00:07:56,490 In kaj to počne, je da naredi prepričan, da je tisto, kar si dal v - 164 00:07:56,490 --> 00:07:59,610 na primer kotacije ali to večja ali manjša - 165 00:07:59,610 --> 00:08:04,701 se nadomesti z nečim da ne bo - 166 00:08:04,701 --> 00:08:05,951 Naj povečate tukaj - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 dejanska ampersand. 169 00:08:09,685 --> 00:08:13,420 To bo nadomestila teh posebnih HTML znaki, da bomo videli, ko bomo 170 00:08:13,420 --> 00:08:14,670 govoriš - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 oh, to se dogaja, da me odpelje nazaj - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 Ti znaki tukaj. 175 00:08:25,380 --> 00:08:28,180 >> To pomeni, da je nekaj prihaja. 176 00:08:28,180 --> 00:08:31,570 Za HTML, ta začne konzole nam pove, da je nekaj 177 00:08:31,570 --> 00:08:33,299 HTML povezano prihaja. 178 00:08:33,299 --> 00:08:33,980 In želimo, da se znebite tega. 179 00:08:33,980 --> 00:08:36,200 Ne želimo postaviti v HTML website.k Nočemo uporabniku, da se 180 00:08:36,200 --> 00:08:40,260 lahko dajo nekaj na njihovi spletni strani , ki lahko vplivajo na njihovo spletno stran, kot so 181 00:08:40,260 --> 00:08:43,480 skript ali HTML ali kaj podobnega. 182 00:08:43,480 --> 00:08:53,090 Kar je pomembno, je, da vam čistiti uporabnik vložek. 183 00:08:53,090 --> 00:08:54,720 >> Tako da uporabniki lahko vhodne veliko stvari. 184 00:08:54,720 --> 00:08:58,110 On lahko vnesete kup stvari, da poskusite trik vaš brskalnik v vedno 185 00:08:58,110 --> 00:08:59,410 tekmovanje v teku to skriptno kodo. 186 00:08:59,410 --> 00:09:02,870 Kaj želite storiti, je, ne samo poglej za scenarij, ampak poglej za vse 187 00:09:02,870 --> 00:09:04,250 da bi bilo zlonamerno. 188 00:09:04,250 --> 00:09:06,800 In bo htmlspecialchars storiti, da za vas, tako da ne boste imeli 189 00:09:06,800 --> 00:09:07,340 skrbeti za to. 190 00:09:07,340 --> 00:09:12,280 Ampak ne poskusite narediti sami nekako s svojo kodo. 191 00:09:12,280 --> 00:09:14,055 So vsi jasno XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Pojdimo v SQL injection. 194 00:09:16,355 --> 00:09:21,010 Torej SQL injekcija je verjetno Številka ena ranljivost 195 00:09:21,010 --> 00:09:22,490 na različnih spletnih straneh. 196 00:09:22,490 --> 00:09:24,350 Mislim, dober zgled - 197 00:09:24,350 --> 00:09:27,350 Pravkar sem raziskovanje najdlje za to stvar. 198 00:09:27,350 --> 00:09:34,430 In sem našel to super članek, kjer Videl sem, da je Harvard kršena, 199 00:09:34,430 --> 00:09:35,390 je kramp. 200 00:09:35,390 --> 00:09:37,370 In sem bil začuden, no, kako bi to naredil? 201 00:09:37,370 --> 00:09:41,660 Harvard je najbolj super, najbolj pritrdite na univerzo kdaj. 202 00:09:41,660 --> 00:09:43,850 Kajne? 203 00:09:43,850 --> 00:09:45,410 No, da krši strežnikov, hekerji uporabljajo 204 00:09:45,410 --> 00:09:47,710 tehniko, imenovano SQL injection. 205 00:09:47,710 --> 00:09:50,250 >> Torej se to zgodi na vsakodnevno. 206 00:09:50,250 --> 00:09:53,590 Ljudje pozabljajo, da se upošteva za injiciranje SQL. 207 00:09:53,590 --> 00:09:54,930 Harvard počne. 208 00:09:54,930 --> 00:10:00,050 Mislim, da tu piše, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Torej, kako delamo - kaj je to SQL injiciranje, ki prinaša vse te 210 00:10:03,550 --> 00:10:05,668 ljudje dol? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Torej SQL je programski jezik, ki bomo uporabili za dostop do podatkovnih baz. 213 00:10:12,090 --> 00:10:14,560 Kaj moramo storiti, je, da smo izbrali - 214 00:10:14,560 --> 00:10:18,510 kaj to bere zdaj je select vse, kar je iz tabele. 215 00:10:18,510 --> 00:10:22,640 >> SQL, se spremeni v teh baz podatkov da so mize polne informacij. 216 00:10:22,640 --> 00:10:26,550 Torej, izberite vse od uporabnikov kjer je ime ime. 217 00:10:26,550 --> 00:10:28,120 Kajne? 218 00:10:28,120 --> 00:10:30,770 Preprost. 219 00:10:30,770 --> 00:10:34,490 Ideja SQL injection je, da smo vstaviti nekaj zlonamerno kodo, ki bi 220 00:10:34,490 --> 00:10:37,270 trik strežnik v tek nekaj drugačen od tistega, kar je 221 00:10:37,270 --> 00:10:38,430 sprva je bil zagnan. 222 00:10:38,430 --> 00:10:44,970 Torej, recimo, za uporabniško ime, damo v ali 1 enaka 1. 223 00:10:44,970 --> 00:10:46,700 Zato smo se v 1. ali enak 1. 224 00:10:46,700 --> 00:10:49,890 Tako bo prebral zdaj bo select od uporabnikov, vse od 225 00:10:49,890 --> 00:10:51,360 Uporabniki - to je vse, kar je - 226 00:10:51,360 --> 00:10:55,880 kjer je ime ime, vendar uporabniško ime ali 1 enaka 1. 227 00:10:55,880 --> 00:11:01,760 >> Torej ime je nič ali 1 enak 1. 228 00:11:01,760 --> 00:11:04,060 1 enaka 1, je vedno res. 229 00:11:04,060 --> 00:11:07,690 Tako da bo to vedno vrne podatke od uporabnikov. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Ne potrebujemo pravilno ime. 232 00:11:10,030 --> 00:11:14,240 Mi lahko samo še vse, kar smo želeli, in se bo vrnil informacije 233 00:11:14,240 --> 00:11:15,690 da moramo. 234 00:11:15,690 --> 00:11:17,160 Oglejmo si še en primer. 235 00:11:17,160 --> 00:11:22,720 >> Če smo izbrali vse od uporabnika, kjer je ime DROP TABLE uporabnikov - 236 00:11:22,720 --> 00:11:26,420 Torej, kaj misliš, da bo to storiti, če sem dal v uporabniškem imenu 237 00:11:26,420 --> 00:11:29,560 kot uporabniki DROP TABLE? 238 00:11:29,560 --> 00:11:30,230 Ima kdo idejo? 239 00:11:30,230 --> 00:11:31,050 Da. 240 00:11:31,050 --> 00:11:32,470 >> PUBLIKA: To bo povedal, to smetišče vse tabele. 241 00:11:32,470 --> 00:11:35,460 >> LUCIANO Arango: To se dogaja, da nam poveste smetišče vse na spletni strani, 242 00:11:35,460 --> 00:11:38,290 vse, kar je v bazi podatkov. 243 00:11:38,290 --> 00:11:41,910 In kaj ljudje to uporabili za - tako Jaz ti bom pokazal fantje. 244 00:11:41,910 --> 00:11:45,462 Jaz onemogočil pada tabel ker ti niso želeli 245 00:11:45,462 --> 00:11:48,240 Fantje, da se opusti svoje mize. 246 00:11:48,240 --> 00:11:49,850 Oglejmo pogled na to. 247 00:11:49,850 --> 00:11:54,410 Torej, to preprosto potegne podatke za določeno osebo. 248 00:11:54,410 --> 00:11:57,550 Torej, kako bomo vedeli, če je to vplivajo SQL injection. 249 00:11:57,550 --> 00:12:01,545 Bomo, da preverite na hitro če bomo lahko dal nekaj - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 Naj izvod to kodo. 252 00:12:06,080 --> 00:12:08,140 Jaz bom šel čez njega v sekundi. 253 00:12:08,140 --> 00:12:12,210 Bom dal korenine in 1 enako 1. 254 00:12:12,210 --> 00:12:15,510 >> Ta pravica je tu, ta znak za odstotek 23 - 255 00:12:15,510 --> 00:12:19,970 kaj je v resnici, če sem poglej tukaj na - 256 00:12:19,970 --> 00:12:23,820 Tako HTML traja v številkah, če si oglejte, ko sem dal v prostoru 257 00:12:23,820 --> 00:12:28,380 tu - če bi bil jaz vesolja nekaj tu, ga spremeni v 2 odstotka. 258 00:12:28,380 --> 00:12:31,420 Ali vi to vidite tukaj ko sem dal v prostoru? 259 00:12:31,420 --> 00:12:36,710 Kako deluje, je, da lahko le pošlji vrednosti ASCII s HTML. 260 00:12:36,710 --> 00:12:40,330 Tako je mogoče namesto npr prostor z 20-odstotno. 261 00:12:40,330 --> 00:12:41,970 Ne vem, če vidva so videli, da je pred. 262 00:12:41,970 --> 00:12:45,100 >> To nadomešča hashtag s 23 odstotkov. 263 00:12:45,100 --> 00:12:50,840 Potrebujemo hashtag na koncu ali Izjava, tako da bomo lahko povem 264 00:12:50,840 --> 00:13:00,885 baze podatkov, da bi pozabili, da zakomentirajte ta zadnja podpičje na koncu. 265 00:13:00,885 --> 00:13:03,060 Želimo, da ne razmišljam o tem. 266 00:13:03,060 --> 00:13:05,980 Hočemo samo, da teče vse da imamo pred in 267 00:13:05,980 --> 00:13:07,450 pripombe, ki ven. 268 00:13:07,450 --> 00:13:08,710 Oglejmo pogled na to. 269 00:13:08,710 --> 00:13:14,670 >> Torej, če bi bil jaz dal nekaj narobe - recimo, na primer, sem dal 2 enaka 270 00:13:14,670 --> 00:13:15,690 1, pa ne mi dati ničesar. 271 00:13:15,690 --> 00:13:22,930 Ko sem dal v 1 enaka 1, in to ne nekaj vrniti, to mi je povedal, da 272 00:13:22,930 --> 00:13:24,660 To je občutljiva na SQL injection. 273 00:13:24,660 --> 00:13:29,090 Zdaj vem, da karkoli Sem dal po tem - 274 00:13:29,090 --> 00:13:39,110 in na primer, spuščanje tabel ali nekaj takega 275 00:13:39,110 --> 00:13:41,190 bo zagotovo delovalo. 276 00:13:41,190 --> 00:13:44,350 Vem, da je ranljiva za SQL injection ker vem, da 277 00:13:44,350 --> 00:13:49,850 Pod pokrovom motorja, to je dajanje v najem jaz 1 enaka 1 stvar. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> In če gledamo na te druge tiste, številka dve in številka tri, to je 281 00:13:56,540 --> 00:13:59,110 naredili malo več preverjanja pod 282 00:13:59,110 --> 00:14:03,680 hood, kaj je to. 283 00:14:03,680 --> 00:14:07,425 Torej, kdo omogočite padec kaj še, ali poskusili? 284 00:14:07,425 --> 00:14:08,760 Ali vi nekako dobil SQL še? 285 00:14:08,760 --> 00:14:10,430 Ker vem, da vi niste videl še, da je to nekako 286 00:14:10,430 --> 00:14:11,759 zavajajoče za vas. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Oglejmo pogled. 289 00:14:18,480 --> 00:14:21,270 Torej, kaj je način za preprečevanje SQLI? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Torej je to zelo pomembno, saj vam fantje zagotovo želeli preprečiti 292 00:14:23,330 --> 00:14:24,090 to v vaše spletne strani. 293 00:14:24,090 --> 00:14:28,040 >> Če ne, vsi tvoji prijatelji bodo norčevali iz vas, ko se spusti vse 294 00:14:28,040 --> 00:14:29,390 Vaše tabele. 295 00:14:29,390 --> 00:14:36,150 Torej ideja je, da to popravimo SQL na določen način, ker se ujemajo 296 00:14:36,150 --> 00:14:41,940 kaj uporabnik vhod s nekatere niz. 297 00:14:41,940 --> 00:14:46,120 Torej, kako to deluje, je vi pripraviti bazo podatkov. 298 00:14:46,120 --> 00:14:50,830 Izberete ime, barvo in kalorij iz baze podatkov, imenovano sadja. 299 00:14:50,830 --> 00:14:53,580 In kje je potem kalorij manj, kot in mi dal vprašaj tam 300 00:14:53,580 --> 00:14:56,530 pravijo, da bomo vhodu nekaj v sekundi. 301 00:14:56,530 --> 00:14:58,850 >> In barvno enaka, in mi dal vprašanje Oznaka rekel da bomo 302 00:14:58,850 --> 00:15:00,913 input nekaj v sekundi, kot tudi. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 In potem smo jo izvrši, dajanje na 150 in rdeče. 305 00:15:09,920 --> 00:15:12,820 In to bo preveril, da bi prepričani, da ta dva - 306 00:15:12,820 --> 00:15:15,300 Ta niz bo preveril, da so ti dva sta celo število in 307 00:15:15,300 --> 00:15:16,550 da je ta niz. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Potem gremo, mi prinesi vsi smo ga v rdeči barvi. 310 00:15:20,890 --> 00:15:21,964 To pomeni, da prinese vse. 311 00:15:21,964 --> 00:15:26,790 To pomeni, da smo dejansko izvedbo SQL izjavo in jo spraviti nazaj v red. 312 00:15:26,790 --> 00:15:30,530 Tukaj bomo naredili enako, vendar smo storijo enako za rumeno. 313 00:15:30,530 --> 00:15:32,490 In mi prinesi vse. 314 00:15:32,490 --> 00:15:36,140 >> In na ta način preprečujejo uporabniku , da bi lahko na vhodno nekaj 315 00:15:36,140 --> 00:15:41,710 to ni tisto, kar smo opredelili, niz ali celo število, npr. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Sem govoril prej o zanašajo na druge. 318 00:15:46,610 --> 00:15:50,010 Ko vi začnete projekt, si prav gotovo bo uporabil 319 00:15:50,010 --> 00:15:52,310 bootstrap ali kaj podobnega. 320 00:15:52,310 --> 00:15:53,490 Sta sploh kdaj uporabili Wordpress? 321 00:15:53,490 --> 00:15:57,170 Verjetno so uporabili vi Wordpress najbolj verjetno. 322 00:15:57,170 --> 00:16:00,050 Torej, problem pri uporabi Stvari drugih ljudi - 323 00:16:00,050 --> 00:16:05,940 Grem na Google resnično hitro Wordpress ranljivost. 324 00:16:05,940 --> 00:16:07,495 >> Če to potegnem gor zdaj - 325 00:16:07,495 --> 00:16:08,995 Dobesedno sem naredil dva druga Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Vidimo lahko, da Wordpress - 328 00:16:13,800 --> 00:16:17,450 Datum je od septembra '12. 329 00:16:17,450 --> 00:16:19,120 26 je posodobljen. 330 00:16:19,120 --> 00:16:23,620 Privzeta nastavitev Wordpress pred 3.6 ne preprečuje, da te 331 00:16:23,620 --> 00:16:27,110 nekateri dodane, ki bi lahko olajšajo 332 00:16:27,110 --> 00:16:29,790 cross-site skriptno napade. 333 00:16:29,790 --> 00:16:34,530 Tako hitro zgodba, ko smo delali z - tako sem bil v poletnih mesecih, ki delajo 334 00:16:34,530 --> 00:16:34,970 pripravništvo. 335 00:16:34,970 --> 00:16:40,400 In smo delali z nekakšno kot družba velik kreditne kartice. 336 00:16:40,400 --> 00:16:42,020 >> In se zanašajo na nekaj, kar ti - 337 00:16:42,020 --> 00:16:45,740 Ne vem, če vama kdaj igral s proizvoda, imenovanega Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla je izdelek, ki se uporablja za Nadzor - nekako podobno 339 00:16:51,750 --> 00:16:54,340 Wordpress, ki se uporablja za izgradnjo spletne strani. 340 00:16:54,340 --> 00:16:56,060 Tako so imeli svojo spletno stran delajo na Joomla. 341 00:16:56,060 --> 00:16:59,290 To je dejansko kreditna kartica Družba v Kolumbiji. 342 00:16:59,290 --> 00:17:01,000 Odpeljal te bom na njihove Spletna stran zelo hitro. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Zato so uporabili Joomla. 345 00:17:05,400 --> 00:17:08,630 In da ne bi posodobljena Joomla na najnovejši dodatek. 346 00:17:08,630 --> 00:17:12,160 In tako, ko smo ob pogled na njihova oznaka, smo lahko dejansko 347 00:17:12,160 --> 00:17:18,430 pojdi notri svojo kodo in kradejo vse podatke o kreditni kartici, ki jih je imel, 348 00:17:18,430 --> 00:17:21,670 Vse številke kreditnih kartic, imena, naslove. 349 00:17:21,670 --> 00:17:22,740 In to je bila le - 350 00:17:22,740 --> 00:17:23,569 in njihov kodeks je bil popolnoma v redu. 351 00:17:23,569 --> 00:17:24,710 Imeli so veliko kode. 352 00:17:24,710 --> 00:17:25,389 Vse je bilo varnost. 353 00:17:25,389 --> 00:17:26,520 Preverili vseh baz podatkov. 354 00:17:26,520 --> 00:17:29,020 Poskrbeli so cross-site skripte je bilo v redu. 355 00:17:29,020 --> 00:17:34,390 >> Vendar so uporabili nekaj, kar ni bilo posodobiti, da ni bilo varno. 356 00:17:34,390 --> 00:17:36,940 In tako, da jih je k - tako fantje Zagotovo boste uporabljali druge 357 00:17:36,940 --> 00:17:40,650 koda, okviri ljudi drugih ljudi zgraditi svojo spletno stran. 358 00:17:40,650 --> 00:17:43,860 Prepričajte se, da ste varni, ker včasih je ne boste, tisti, ki 359 00:17:43,860 --> 00:17:44,480 naredi napako. 360 00:17:44,480 --> 00:17:47,440 Ampak nekdo naredi napako, in potem padeš dol zaradi tega. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Gesla in zavarovanja poklicne odgovornosti. 363 00:17:53,885 --> 00:17:56,820 Torej gesla. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Oglejmo si na gesel resnično hitro. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Prosim, povejte mi, da vsi uporablja varno - 369 00:18:06,520 --> 00:18:09,030 Upam, da vsi tu uporablja varnih gesel. 370 00:18:09,030 --> 00:18:12,890 Jaz sem samo pustil, da se kot predpostavki. 371 00:18:12,890 --> 00:18:14,850 Torej vidva definitivno bo shranjevanje gesel za vaše spletne strani. 372 00:18:14,850 --> 00:18:17,440 Ti boš, da bi nekaj podobnega prijava ali nekaj takega. 373 00:18:17,440 --> 00:18:19,610 Kar je pomembno, je, da ne hranite gesel v golo besedilo. 374 00:18:19,610 --> 00:18:20,860 To je izredno pomembno. 375 00:18:20,860 --> 00:18:23,960 Ne želite shraniti gesla v golo besedilo. 376 00:18:23,960 --> 00:18:27,370 >> In ti zagotovo ne res želite da ga shranite v eno smer hash. 377 00:18:27,370 --> 00:18:32,440 Torej, kaj je eden od načinov hash je, da ko ustvarjajo besedo, ko si dal to 378 00:18:32,440 --> 00:18:36,200 Beseda v funkcijo razpršitve, bo ustvarjajo nazaj nekakšen skrivnosten 379 00:18:36,200 --> 00:18:39,390 sporočilo ali Grobni nabor tipk. 380 00:18:39,390 --> 00:18:40,640 Pokazal vam bom primer. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Jaz grem za razpršitev so besedo password1. 383 00:18:50,250 --> 00:18:55,280 Torej md5 hash se dogaja, da mi vrnejo nekakšen čuden informacij. 384 00:18:55,280 --> 00:18:59,140 >> Problem je, da ljudje tam , ki radi hodijo v spletne strani imajo 385 00:18:59,140 --> 00:19:02,750 že pogruntal nekako vseh MD5 haše s. 386 00:19:02,750 --> 00:19:06,030 Kaj si se ti usedel na njihovo računalniki, in so zgoščene vsak 387 00:19:06,030 --> 00:19:09,660 single mogoče beseda tam, dokler so dobili nekako, kaj je to. 388 00:19:09,660 --> 00:19:11,420 Če bi to poglej gor - 389 00:19:11,420 --> 00:19:12,420 Pravkar sem zgrabil to hašiš. 390 00:19:12,420 --> 00:19:14,120 Če dobim to hash od - 391 00:19:14,120 --> 00:19:17,470 če grem na spletno stran, in se mi zdi To hash, ker sem dobil za 392 00:19:17,470 --> 00:19:24,100 baze podatkov, in sem ga pogledati, kdo že pogruntal zame. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Ja. 395 00:19:29,100 --> 00:19:35,030 Torej, ljudje sedli, in karkoli md5 hash, da si dal noter, pa boš 396 00:19:35,030 --> 00:19:37,760 vrniti v vas nekaj da je beseda. 397 00:19:37,760 --> 00:19:39,800 Če bi hash drugo besedo, kot so - 398 00:19:39,800 --> 00:19:42,410 Ne vem - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Nočem biti razočaran po mojih iskanja Google. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Tukaj je, trees2. 403 00:19:52,780 --> 00:19:55,930 Torej, veliko spletnih strani še vedno uporablja MD5 hash. 404 00:19:55,930 --> 00:19:57,730 Pravijo, oh, to je varno. 405 00:19:57,730 --> 00:19:58,570 Nismo shranjevanje v golo besedilo. 406 00:19:58,570 --> 00:19:59,740 Imamo to MD5 hash. 407 00:19:59,740 --> 00:20:01,880 In vse, kar morate storiti, je le Google številko. 408 00:20:01,880 --> 00:20:03,940 >> Nimam niti sam izračunati. 409 00:20:03,940 --> 00:20:06,790 Jaz lahko samo Google, in nekdo že to storil zame. 410 00:20:06,790 --> 00:20:08,010 Tukaj je kup jih je. 411 00:20:08,010 --> 00:20:09,260 Tukaj je kup gesel. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Torej definitivno ne uporabljate MD5 hash, ker vse, kar morate 414 00:20:18,680 --> 00:20:19,140 storiti, je Google to. 415 00:20:19,140 --> 00:20:20,390 Torej, kaj si želite namesto nje uporabljati? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Nekaj, kar ti soljenje. 419 00:20:31,260 --> 00:20:32,460 Torej, kaj je soljenje - 420 00:20:32,460 --> 00:20:36,280 Ali vas spomnim, ko smo bili Govorimo o naključno - 421 00:20:36,280 --> 00:20:37,920 Nisem prepričan, kaj pset je bilo - 422 00:20:37,920 --> 00:20:41,140 je pset tam ali štiri? 423 00:20:41,140 --> 00:20:45,150 >> Sva se pogovarjala o iskanju igle v kopici sena. 424 00:20:45,150 --> 00:20:48,480 In v pset, je dejal, da si lahko dejansko ugotoviti, kaj naključno 425 00:20:48,480 --> 00:20:51,840 ustvarja zato, ker je nekdo že tekel naključne milijon krat in le 426 00:20:51,840 --> 00:20:53,230 nekako oblikovali kaj ustvarjajo. 427 00:20:53,230 --> 00:20:55,840 Kaj želite storiti, je, dal v vložek. 428 00:20:55,840 --> 00:20:57,130 Torej, to je tisto, soljenje vrste je. 429 00:20:57,130 --> 00:21:00,900 So že pogruntal, kaj soljenje vrne za vsako delo. 430 00:21:00,900 --> 00:21:04,750 >> Torej, kaj počne, je soljenje si dal v soli. 431 00:21:04,750 --> 00:21:06,160 Si dal v določeno besedo. 432 00:21:06,160 --> 00:21:09,720 In bo hash to besedo, odvisno o tem, kaj si dal noter. 433 00:21:09,720 --> 00:21:13,570 Torej, če sem hash geslo eno s tem stavek, da se bo hash 434 00:21:13,570 --> 00:21:17,180 drugače, če sem hash password1 z drugim stavkom. 435 00:21:17,180 --> 00:21:21,670 To nekako mu daje nekje začetek za hašiš za začetek. 436 00:21:21,670 --> 00:21:25,970 Tako da je veliko težje izračunati, vendar pa Še vedno lahko izračuna, še posebej, 437 00:21:25,970 --> 00:21:26,830 Če uporabljate slab sol. 438 00:21:26,830 --> 00:21:29,650 >> Ljudje so se že tudi pogruntal skupna soli in pogruntal 439 00:21:29,650 --> 00:21:31,500 tisto, ki je. 440 00:21:31,500 --> 00:21:34,980 Naključne soli so veliko boljši, vendar je najboljši način je uporaba 441 00:21:34,980 --> 00:21:38,160 nekaj, kar se imenuje grobnica. 442 00:21:38,160 --> 00:21:40,480 In kaj grobnica vam omogoča, da Ne - tako da te funkcije 443 00:21:40,480 --> 00:21:41,820 že zgrajena za vas. 444 00:21:41,820 --> 00:21:44,910 Mnogi ljudje pozabljajo, da je, ali so pozabili, da jo uporabljajo. 445 00:21:44,910 --> 00:21:54,520 Ampak, če gledam gor kripti PHP, grobnica že vrne hash niz zame. 446 00:21:54,520 --> 00:21:58,790 In to dejansko soli večkrat in to hashes večkrat. 447 00:21:58,790 --> 00:22:00,070 >> Torej ne bomo morali to storiti. 448 00:22:00,070 --> 00:22:04,790 Torej, vse, kar morate storiti je, pošljete v grobnici. 449 00:22:04,790 --> 00:22:08,170 In bo ustvaril velik hash brez boste morali skrbeti soli 450 00:22:08,170 --> 00:22:08,990 ali kaj podobnega. 451 00:22:08,990 --> 00:22:12,000 Ker če bi sol to, da imate se spomnite, kaj ste uporabili sol 452 00:22:12,000 --> 00:22:13,800 ker če ne, se ne more znebiti vaš Geslo nazaj brez 453 00:22:13,800 --> 00:22:15,760 sol, ki jo uporablja. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> In tudi osebno določljivi informacije. 457 00:22:23,150 --> 00:22:26,730 Torej socialna varnost, kreditne kartice - To je precej očitno. 458 00:22:26,730 --> 00:22:31,880 Ampak včasih se ljudje pozabili, tako, kot je Dela je, koliko informacij si naredil 459 00:22:31,880 --> 00:22:35,690 dejansko morali najti nekaj eno osebo? 460 00:22:35,690 --> 00:22:37,740 Nekdo je naredil študijo o to pot nazaj. 461 00:22:37,740 --> 00:22:40,870 In je bilo všeč, če imate polno ime, ne morete najti 462 00:22:40,870 --> 00:22:41,610 nekdo, ki z lahkoto. 463 00:22:41,610 --> 00:22:43,900 Toda kaj, če imate polno ime in njihov datum rojstva? 464 00:22:43,900 --> 00:22:47,770 Je to dovolj za identifikacijo nekdo posebej? 465 00:22:47,770 --> 00:22:52,760 >> Kaj pa, če imate svoje ime in naslov, ki živijo na? 466 00:22:52,760 --> 00:22:55,110 Je to dovolj, da bi našli nekoga? 467 00:22:55,110 --> 00:23:02,490 In takrat se sprašujejo, kaj je osebno določljivi podatki, in 468 00:23:02,490 --> 00:23:05,360 kaj morate skrbeti ne daje stran? 469 00:23:05,360 --> 00:23:08,770 Če ste vdati osebno razpoznavnih informacije, da nekdo vam, 470 00:23:08,770 --> 00:23:11,420 Lahko dobiš lahko tožil. 471 00:23:11,420 --> 00:23:12,610 In prav gotovo ne želite, da. 472 00:23:12,610 --> 00:23:14,955 >> Torej, če ste dajanje vaše spletne strani ven, in ste res kul 473 00:23:14,955 --> 00:23:17,230 Zasnova, upajmo, da je super končni projekt. 474 00:23:17,230 --> 00:23:18,370 Koli si nekako želite ga dal ven. 475 00:23:18,370 --> 00:23:21,420 Hočeš, da poskrbite, da ne glede na ste ob od uporabnika, če je 476 00:23:21,420 --> 00:23:25,310 osebne prepoznavne podatke, ki jih želite zagotoviti, si pa res 477 00:23:25,310 --> 00:23:26,560 previdni z njim. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Injiciranje Shell. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Injiciranje Shell omogoča napadalec dobili dostop do vaše dejanske ukazni vrstici 482 00:23:37,590 --> 00:23:39,660 V vašem strežniku. 483 00:23:39,660 --> 00:23:44,060 In tako je on sposoben teči kodo da ne morete nadzorovati. 484 00:23:44,060 --> 00:23:49,560 Vzemimo za primer tega lep niz tukaj. 485 00:23:49,560 --> 00:23:55,570 Če gremo v spletno stran še enkrat, sem bo šel v kodo injekcijo. 486 00:23:55,570 --> 00:23:58,910 Torej, kaj to pa je - 487 00:23:58,910 --> 00:24:00,420 to je tudi tisto, kar smo bili gledaš prej. 488 00:24:00,420 --> 00:24:11,200 Smo dovolili uporabniku dal v kakršnikoli hoče, in se bo izpisal 489 00:24:11,200 --> 00:24:12,220 karkoli hočeš. 490 00:24:12,220 --> 00:24:13,890 >> Torej bom dal klic. 491 00:24:13,890 --> 00:24:15,540 Kaj to pa je - 492 00:24:15,540 --> 00:24:16,940 se bo začelo s povezovanjem. 493 00:24:16,940 --> 00:24:19,520 Tako bo mi teče karkoli ukaz teče osebe 494 00:24:19,520 --> 00:24:21,500 Pred in moj ukaz. 495 00:24:21,500 --> 00:24:23,980 In tečem ukaz sistema. 496 00:24:23,980 --> 00:24:27,310 In v teh zadnjih strune so - ne pozabite kaj sem govoril z vami o tem, 497 00:24:27,310 --> 00:24:31,725 ker se imate za kodiranje je v postopku URL. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Če vodim to zdaj - 500 00:24:36,992 --> 00:24:39,150 Pokazal ti bom tukaj - 501 00:24:39,150 --> 00:24:41,100 boste videli, da sem končal up teče ukaz. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> To je pravzaprav dejanski strežnik da je moja spletna stran teče naprej. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Tako da ne želimo, da se ker lahko tečem - 506 00:24:58,510 --> 00:25:00,320 Ta strežnik ni moje. 507 00:25:00,320 --> 00:25:04,030 Torej, ne želim pokvariti njegov sestra, Marcus je strežnik. 508 00:25:04,030 --> 00:25:07,470 Vendar lahko zaženete več ukazov da so nevarne. 509 00:25:07,470 --> 00:25:11,885 In potencialno, lahko izbrišete datoteke, odstranite imenike. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Ne morem odstraniti določen direktorij, če Hotela sem, ampak nočem 512 00:25:17,970 --> 00:25:19,530 za to, da Marcus. 513 00:25:19,530 --> 00:25:20,420 On je dober fant. 514 00:25:20,420 --> 00:25:21,470 On mi posodi njegov pomočnik. 515 00:25:21,470 --> 00:25:24,620 Torej bom ga pustil off na eno dobro. 516 00:25:24,620 --> 00:25:32,280 >> Torej, kaj ne želimo uporabljati - ne bomo želite uporabiti eval ali sistema. 517 00:25:32,280 --> 00:25:34,755 Eval ali sistem nam omogoča, da da te sistemske klice. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval sredstva ovrednotiti. 520 00:25:38,410 --> 00:25:40,790 Sistem pomeni tisto, kar sem tekel. 521 00:25:40,790 --> 00:25:42,490 To bo nekaj v sistemu. 522 00:25:42,490 --> 00:25:46,730 Lahko pa smo prepovedali te stvari v PHP, tako da jih ne uporabljate. 523 00:25:46,730 --> 00:25:47,400 In nalaganje datotek. 524 00:25:47,400 --> 00:25:49,180 Hotel sem narediti super stvar pri nalaganju datoteke. 525 00:25:49,180 --> 00:25:52,740 Ampak, kot sem ti rekel, fantje, moj datoteko upload stvar ne deluje. 526 00:25:52,740 --> 00:25:54,590 Če bi bili, da naložite datoteko zdaj - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 če bi bil jaz naložite datoteko, in to je slika - 529 00:26:00,830 --> 00:26:03,180 imate upload stvar to je slika. 530 00:26:03,180 --> 00:26:03,660 To je v redu. 531 00:26:03,660 --> 00:26:04,280 Nič se ne zgodi. 532 00:26:04,280 --> 00:26:10,840 >> Ampak, če imate za nalaganje datotek, na primer, in uporabnik dejansko dodane 533 00:26:10,840 --> 00:26:19,220 PHP datoteko ali exe ali kaj tako, potem si lahko potencialno 534 00:26:19,220 --> 00:26:19,740 problem. 535 00:26:19,740 --> 00:26:21,390 To je delala prej. 536 00:26:21,390 --> 00:26:25,202 Žal za mene, to je ne deluje več. 537 00:26:25,202 --> 00:26:30,230 Če bi, na primer, naložite datoteko, da sem niso dobili dovoljenja za nalaganje 538 00:26:30,230 --> 00:26:33,400 datotek zaradi strežniku niso moje. 539 00:26:33,400 --> 00:26:38,670 Torej, tip je res pametno. 540 00:26:38,670 --> 00:26:39,610 >> Tako da ne želimo, da - 541 00:26:39,610 --> 00:26:40,130 Bom pokazal fantje - 542 00:26:40,130 --> 00:26:41,840 OK, to je nekaj res kul orodja. 543 00:26:41,840 --> 00:26:45,100 Torej ti - 544 00:26:45,100 --> 00:26:47,715 gredo v - če imate vi Firefox - upam, da boste to storili. 545 00:26:47,715 --> 00:26:54,260 Obstajata dve dodatkov imenovane SQL Inject Jaz in Cross-Site Script Me. 546 00:26:54,260 --> 00:26:56,870 Odpirajo tako malo strani bari na strani. 547 00:26:56,870 --> 00:27:01,480 In če bi bil jaz, da gredo na CS60 na primer - 548 00:27:01,480 --> 00:27:04,210 kaj počne je videti Za vse oblike, ki - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 upam, da ne bom dobil v težavah za to. 551 00:27:08,760 --> 00:27:09,190 >> Ampak OK. 552 00:27:09,190 --> 00:27:12,600 Tukaj je pin sistem. 553 00:27:12,600 --> 00:27:18,946 Torej, ko začnem iskati luknje v Sistem, prva stvar, ki mi je 554 00:27:18,946 --> 00:27:21,820 odpreti ta prelepi Orodje na strani. 555 00:27:21,820 --> 00:27:24,160 In jaz grem testirati oblike z avto napadov. 556 00:27:24,160 --> 00:27:28,510 Pa kaj, to pa je, da bo počasi odpirajo kup brskalnikov. 557 00:27:28,510 --> 00:27:29,930 Tukaj je kup brskalnikov. 558 00:27:29,930 --> 00:27:33,320 In to poskuša vsak kombinacije of cross-site scripting 559 00:27:33,320 --> 00:27:37,380 da je možno je, če vidite na strani. 560 00:27:37,380 --> 00:27:42,080 >> In mi bo dal rezultat nekako, kaj je odgovor. 561 00:27:42,080 --> 00:27:42,860 Vse mimo. 562 00:27:42,860 --> 00:27:43,910 Očitno je, da so vse mimo. 563 00:27:43,910 --> 00:27:46,190 Mislim, da si res pameten ljudje tam gor. 564 00:27:46,190 --> 00:27:48,010 Ampak, če bi bil jaz teči - 565 00:27:48,010 --> 00:27:52,050 Imel sem večkrat prej, ko sem teči ta o končnih projektov študentov. 566 00:27:52,050 --> 00:27:56,080 Jaz preprosto zaženite SQL vbrizgamo me z vse različne napade. 567 00:27:56,080 --> 00:28:00,080 In to poskuša SQL injicirate to pin server. 568 00:28:00,080 --> 00:28:03,590 Torej, če smo se pomaknite navzdol za Na primer, pravi - 569 00:28:03,590 --> 00:28:04,960 To je dobro, če se vrne. 570 00:28:04,960 --> 00:28:08,250 >> Tako da testirajo nekaj določenih vrednosti. 571 00:28:08,250 --> 00:28:11,170 In strežnik je vrnil kodo, ki je bil negativen. 572 00:28:11,170 --> 00:28:11,780 Začasno odstrani. 573 00:28:11,780 --> 00:28:13,030 To je dobro. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Skuša vse te teste. 576 00:28:20,750 --> 00:28:21,790 Tako da boste lahko preprosto zaženite - 577 00:28:21,790 --> 00:28:27,860 Želim si, da bi našel pravi spletni strani hitro, da bi pustil me - 578 00:28:27,860 --> 00:28:29,110 Morda CS50 trgovina. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Wow, to se dogaja, da bo predolgo. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Jaz bom pustil prvi test se ne konča dobro. 583 00:28:55,130 --> 00:28:57,330 Tako da je sodnik. 584 00:28:57,330 --> 00:28:58,470 To so tri stvari. 585 00:28:58,470 --> 00:29:00,430 Ta orodja so brezplačne. 586 00:29:00,430 --> 00:29:03,960 Jih lahko prenesete in jih predvajajo na vaše spletne strani, in to vam bo povedal, če je 587 00:29:03,960 --> 00:29:06,650 imate cross-site scripting, če imate SQL, če imate 588 00:29:06,650 --> 00:29:07,900 Nekaj ​​od podobno. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Jaz sem nekako pokvarila. 591 00:29:14,500 --> 00:29:15,550 >> Kaj je pomembno - 592 00:29:15,550 --> 00:29:17,900 OK, tako da nikoli ne zaupaj uporabnika. 593 00:29:17,900 --> 00:29:21,920 Ne glede na vložke uporabnik za vas, da prepričajte, da ste jo razkužila, ga očistite, 594 00:29:21,920 --> 00:29:25,300 ste se prijavili za prave stvari, da je tisto, kar vam daje 595 00:29:25,300 --> 00:29:28,240 želim, da bi vam. 596 00:29:28,240 --> 00:29:32,460 Vedno se posodablja o tem, kaj okviri da ste dejansko uporabljate. 597 00:29:32,460 --> 00:29:34,630 Če ste uporabili nekaj podobnega bootstrap - 598 00:29:34,630 --> 00:29:36,340 Vem, da gresta za uporabo bootstrap, ker on bo šel 599 00:29:36,340 --> 00:29:38,140 zaradi tega kmalu v razredu - 600 00:29:38,140 --> 00:29:43,120 in Wordpress ali nekaj takega, običajno je to mogoče kramp. 601 00:29:43,120 --> 00:29:44,770 >> In potem si niti ne vedo. 602 00:29:44,770 --> 00:29:45,800 Ste pravkar teče vaše spletne strani. 603 00:29:45,800 --> 00:29:47,360 In to je popolnoma varno. 604 00:29:47,360 --> 00:29:51,730 In greš dol. 605 00:29:51,730 --> 00:29:54,000 Torej sem ribolovu res zgodaj. 606 00:29:54,000 --> 00:29:55,770 Vendar bi se rad zahvalil Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Bom pokazal vidva nekaj imenovano Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Če sta vidva res zanima kakšna varnost res je, da je 609 00:30:05,000 --> 00:30:07,300 Spletna stran se imenuje Pentest Labs, če vi iti k njej prav zdaj. 610 00:30:07,300 --> 00:30:10,730 Oh, no, to ni to. 611 00:30:10,730 --> 00:30:12,030 Jaz bom samo, da bi sistem deloval, kot je ta. 612 00:30:12,030 --> 00:30:14,400 Google mi pravi odgovor. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 In uči vam uporabo - tako da pravi, da se učijo spletni vdor 615 00:30:19,030 --> 00:30:21,060 testiranje na pravi način. 616 00:30:21,060 --> 00:30:23,650 To vas uči - 617 00:30:23,650 --> 00:30:25,150 upam, da si etično osebo. 618 00:30:25,150 --> 00:30:29,200 Ampak to vas uči, kako si lahko ogledate na kako lahko dobiš notri spletne strani. 619 00:30:29,200 --> 00:30:31,130 In če boste izvedeli, kako lahko dobiš noter spletne strani, boste lahko izvedeli, kako 620 00:30:31,130 --> 00:30:34,960 zaščitite pred pridobivanje znotraj spletne strani. 621 00:30:34,960 --> 00:30:39,100 Dovolite mi, da povečate ker morda vi ne gledaš te pravice. 622 00:30:39,100 --> 00:30:46,350 >> Od SQL injection lupini, zato nekako, kako lahko dobim od SQL 623 00:30:46,350 --> 00:30:48,530 injiciranja na lupini. 624 00:30:48,530 --> 00:30:53,890 In prenesete ta virtualni stroj. 625 00:30:53,890 --> 00:30:55,690 In stvaren stroj že prihaja s spletno stranjo, ki ste 626 00:30:55,690 --> 00:30:56,780 dogaja, da jo poskusite na. 627 00:30:56,780 --> 00:30:58,030 Prenesete ta PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 In to vam bo pokazal po vrsticah, kar kar morate storiti, kar morate preveriti. 630 00:31:08,370 --> 00:31:14,560 To je tisto, kar napadalec dejansko does priti v spletno stran. 631 00:31:14,560 --> 00:31:15,750 >> In nekateri od teh stvari je zapleteno. 632 00:31:15,750 --> 00:31:17,520 Želim si, da bi lahko šel čez več stvari z vami. 633 00:31:17,520 --> 00:31:21,090 Vendar pa me skrbi, da fantje še ni res - 634 00:31:21,090 --> 00:31:23,090 To je tisto, kar sem šel z vidva, spletne testi 635 00:31:23,090 --> 00:31:26,830 za prodor testiranje. 636 00:31:26,830 --> 00:31:33,540 Res ne vem, kaj SQL je in kaj - 637 00:31:33,540 --> 00:31:35,960 Carla Jacksona seminar je super, kot dobro. 638 00:31:35,960 --> 00:31:37,360 Vi ne veste, nekako kaj je to. 639 00:31:37,360 --> 00:31:39,450 Ampak, če greš na tej spletni strani, in si prenos teh vaj in ti 640 00:31:39,450 --> 00:31:43,290 PDF, si lahko ogledate vrsto tisto področje varnosti res 641 00:31:43,290 --> 00:31:46,940 V prodor testiranje, si oglejte, kako lahko prišli v spletne strani in zaščito 642 00:31:46,940 --> 00:31:48,020 sami od njega. 643 00:31:48,020 --> 00:31:56,360 >> Torej, če naredim super hiter pregled, da bomo preprečili cross-site scripting. 644 00:31:56,360 --> 00:32:00,160 Želite htmlspecialchars uporabljate vsak Čas nekaj uporabnika vhoda. 645 00:32:00,160 --> 00:32:01,580 Preprečiti SQL injection. 646 00:32:01,580 --> 00:32:04,510 Če boste to storili, da ste že Bolje kot je Harvard 647 00:32:04,510 --> 00:32:06,530 ko je dobil so kršene. 648 00:32:06,530 --> 00:32:10,510 In poskrbite, da vaša gesla niso v golo besedilo. 649 00:32:10,510 --> 00:32:16,220 Poskrbite, da vam ne samo na en način razpršitve njih, ampak da uporabljate grobnico, PHP 650 00:32:16,220 --> 00:32:18,670 funkcija, ki sem ti pokazala, fantje. 651 00:32:18,670 --> 00:32:20,060 Na ta način, morate biti dober. 652 00:32:20,060 --> 00:32:25,830 >> Tudi, če vaši prijatelji vam, zaženite SQL vbrizgamo mi na svojih spletnih straneh. 653 00:32:25,830 --> 00:32:28,140 Run cross-site skriptno na svojih spletnih straneh. 654 00:32:28,140 --> 00:32:33,720 In boste videli veliko teh spletnih strani imajo tono ranljivosti. 655 00:32:33,720 --> 00:32:40,400 To je neverjetno, koliko ljudi pozabi razkužila svojih zbirk podatkov, ali da 656 00:32:40,400 --> 00:32:46,340 prepričani, kaj vnosom osebe ni script code. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Sem nekako končal res zgodaj. 659 00:32:49,182 --> 00:32:56,510 Ampak, če ima kdo kakršna koli vprašanja o karkoli, lahko me ustreli vprašanje. 660 00:32:56,510 --> 00:32:56,630 Ja. 661 00:32:56,630 --> 00:32:56,970 Pojdi, pojdi. 662 00:32:56,970 --> 00:32:59,846 >> PUBLIKA: Rad bi samo vprašati, lahko pojasnite, kako se datoteka 663 00:32:59,846 --> 00:33:03,160 upload natanko dela. 664 00:33:03,160 --> 00:33:03,480 >> LUCIANO Arango: Ja. 665 00:33:03,480 --> 00:33:06,350 Naj vam pokažem datoteko upload zelo hitro. 666 00:33:06,350 --> 00:33:11,300 Torej upload file - 667 00:33:11,300 --> 00:33:14,500 problem wit file upload zdaj je, da je - 668 00:33:14,500 --> 00:33:18,541 Bom odprl kodo, tako da boste vi glej kodo v ozadju. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 In ga naložite. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Tukaj je koda za datotečni strežnik. 673 00:33:31,560 --> 00:33:33,980 >> Trudimo se, da gredo v to Imenik tukaj. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 In se trudimo, da, ko smo vhodnega Datoteka, isset file - tako da, ko je 676 00:33:44,880 --> 00:33:50,900 vloži v datotekah, to podobo, nato pa skušamo premakniti tukaj. 677 00:33:50,900 --> 00:33:51,910 Mi zgrabi datoteko tukaj. 678 00:33:51,910 --> 00:33:58,350 Metoda POST, tip, slik, datotek. 679 00:33:58,350 --> 00:33:59,630 In smo poslali to datoteko. 680 00:33:59,630 --> 00:34:03,910 In potem, ko smo ga dobili, tako da, ko datoteka ima podobo, smo poskušali, da ga pošljete 681 00:34:03,910 --> 00:34:05,060 za ta imenik. 682 00:34:05,060 --> 00:34:09,814 >> Problem je, da je spletna stran ni da me spustite v to mapo, 683 00:34:09,814 --> 00:34:12,239 saj ne želijo, da grem nazaj. 684 00:34:12,239 --> 00:34:13,489 Da ne želiš iti - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Moram iti - Torej, tukaj je upload. 687 00:34:17,070 --> 00:34:17,639 Evo slike. 688 00:34:17,639 --> 00:34:21,780 Moram iti vso pot nazaj se začne in ga dal noter in potem 689 00:34:21,780 --> 00:34:23,820 pojdi in ga v imeniku. 690 00:34:23,820 --> 00:34:30,000 Torej, če sem tekel terminalsko okno, in sem hotel, da se premaknete datoteke - 691 00:34:30,000 --> 00:34:30,409 [Neslišno] 692 00:34:30,409 --> 00:34:32,159 vidim. 693 00:34:32,159 --> 00:34:37,940 Če bi želel, da se premaknete datoteko, imam dati ime datoteke in nato 694 00:34:37,940 --> 00:34:40,860 popolna pot želim, da ga pošljete. 695 00:34:40,860 --> 00:34:45,110 >> In potem strežnik ni spustili so me nazaj. 696 00:34:45,110 --> 00:34:46,929 In tako je ne najemnin mi prišli do te datoteke. 697 00:34:46,929 --> 00:34:47,670 Vendar običajno - 698 00:34:47,670 --> 00:34:49,360 tako da je koda za naložite datoteko. 699 00:34:49,360 --> 00:34:52,260 Torej normalno, kaj se bo zgodilo, je, da oseba, ki se ne preverja, če je moja slika 700 00:34:52,260 --> 00:34:57,920 se konča s. jpeg, zato sem bi želeli preveriti. 701 00:34:57,920 --> 00:35:00,054 Dovolite mi, da odprejo primer preveč na hitro. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Ta oseba pravico - 705 00:35:09,230 --> 00:35:11,980 Tako na primer dva preverja če preg_match - 706 00:35:11,980 --> 00:35:14,180 tukaj je tukaj - 707 00:35:14,180 --> 00:35:19,660 zagotoviti, da se konča z PHP, kar je dobro. 708 00:35:19,660 --> 00:35:20,580 To je dobro. 709 00:35:20,580 --> 00:35:22,820 Ampak tam je resnično velik problem s tem. 710 00:35:22,820 --> 00:35:24,600 To je dobro. 711 00:35:24,600 --> 00:35:44,190 Ampak, če bi bil jaz dal datoteko z imenom myfavoritepicture.php.jpeg, sem lahko 712 00:35:44,190 --> 00:35:50,060 Še vedno lahko znebite jpeg in vodijo it.k To PHP je nevarno. 713 00:35:50,060 --> 00:35:53,850 Vi ne želite, da oseba, ki bi lahko teči kodo na vašo spletno stran. 714 00:35:53,850 --> 00:35:55,750 >> Ampak potem. Jpeg omogoča, da prenese. 715 00:35:55,750 --> 00:36:00,720 Ideja je, kaj si resnično želite storiti se ne bi pila, A. Ampak, OK, kaj 716 00:36:00,720 --> 00:36:07,500 si resnično želite storiti, je zagotoviti, da ste prebrali celem svetu. 717 00:36:07,500 --> 00:36:08,720 In tam ni nič. Php v njem. 718 00:36:08,720 --> 00:36:10,500 Ni. Php v Celoten ime datoteke. 719 00:36:10,500 --> 00:36:12,780 >> PUBLIKA: Ampak ti lahko dal. jpeg na koncu. 720 00:36:12,780 --> 00:36:15,830 Strežniki še vedno teče kodo. 721 00:36:15,830 --> 00:36:16,870 >> LUCIANO Arango: Ne, ne bo teči na začetku. 722 00:36:16,870 --> 00:36:22,310 Moraš iti nazaj in poskusiti da vidim, če je to mogoče - 723 00:36:22,310 --> 00:36:24,210 >> PUBLIKA: Zato moramo - 724 00:36:24,210 --> 00:36:26,020 OK, samo še en set, ki vključuje - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANO Arango: Ja. 726 00:36:26,936 --> 00:36:29,230 >> PUBLIKA: OK. 727 00:36:29,230 --> 00:36:31,486 >> LUCIANO Arango: Ja. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Še kakšno vprašanje? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Jaz bom to prepustil in razvrščanje od poskusite da vidim, če vidva lahko - 732 00:36:37,350 --> 00:36:40,490 druge pa so malo bolj zapletena, saj zahtevajo veliko 733 00:36:40,490 --> 00:36:44,050 Več poznavanje SQL kot le začenši poznavanje spletnih SQL je in 734 00:36:44,050 --> 00:36:47,010 Kaj JavaScript. 735 00:36:47,010 --> 00:36:49,730 Ampak bom poskusil, da to ne bi zaostajala, in upajmo, da se bodo fantje naučijo 736 00:36:49,730 --> 00:36:53,230 O tem in poskusite, da si oglejte na kaj lahko storite in koliko primerov 737 00:36:53,230 --> 00:36:54,420 lahko prideš skozi. 738 00:36:54,420 --> 00:36:56,020 >> Vsakdo ima katera koli druga Vprašanja o tem? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Pojdi naprej. 741 00:37:00,350 --> 00:37:01,170 Ja, streljaj, streljaj. 742 00:37:01,170 --> 00:37:01,580 Ja, pojdi. 743 00:37:01,580 --> 00:37:01,850 Pojdi naprej. 744 00:37:01,850 --> 00:37:02,310 >> PUBLIKA: OK. 745 00:37:02,310 --> 00:37:08,870 Tako sem slišal, kako Magic Quotes niso dovolj varna. 746 00:37:08,870 --> 00:37:09,280 >> LUCIANO Arango: Kaj - 747 00:37:09,280 --> 00:37:10,110 Magic Quotes? 748 00:37:10,110 --> 00:37:10,595 >> OBČINSTVO: Ja. 749 00:37:10,595 --> 00:37:15,445 Zato dodaja - tako vsakič, ko vhodni nekaj, kar je vedno dodaja ponudbe. 750 00:37:15,445 --> 00:37:15,930 >> LUCIANO Arango: Ja. 751 00:37:15,930 --> 00:37:16,000 Ja. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> PUBLIKA: In potem sem si mislil, da je delal, potem pa sem ga iskal gor. 754 00:37:19,113 --> 00:37:21,648 In je rekel, da to ni dobro. 755 00:37:21,648 --> 00:37:23,050 Ampak nisem prepričan, zakaj. 756 00:37:23,050 --> 00:37:23,360 >> LUCIANO Arango: Ja. 757 00:37:23,360 --> 00:37:26,240 >> PUBLIKA: Ne uporabljajte Magic Quotes, ker to ni varno. 758 00:37:26,240 --> 00:37:26,360 >> LUCIANO Arango: OK. 759 00:37:26,360 --> 00:37:31,735 Torej Magic Quotes je, ko vstavite SQL in že dodaja ponudbo za vas. 760 00:37:31,735 --> 00:37:33,520 >> PUBLIKA: Vedno dodaja ponudbe okoli karkoli si dal noter 761 00:37:33,520 --> 00:37:34,210 >> LUCIANO Arango: Ja. 762 00:37:34,210 --> 00:37:37,190 Torej, problem pri tem je, da - 763 00:37:37,190 --> 00:37:38,445 Bom si oglejte - 764 00:37:38,445 --> 00:37:41,390 >> PUBLIKA: Kako se pridobi SQL izjavo? 765 00:37:41,390 --> 00:37:44,690 Ali mislim, da bi bilo kot quote izberete. 766 00:37:44,690 --> 00:37:49,030 >> LUCIANO Arango: Ja, morate dobre citate za SQL. 767 00:37:49,030 --> 00:37:52,900 >> PUBLIKA: Ne, ampak strežnik to naredi za vas. 768 00:37:52,900 --> 00:37:54,460 >> LUCIANO Arango: Te majhne quotes tukaj, ti mali quotes? 769 00:37:54,460 --> 00:37:55,670 >> OBČINSTVO: Ja. 770 00:37:55,670 --> 00:37:56,450 >> LUCIANO Arango: Ja. 771 00:37:56,450 --> 00:37:59,860 Problem je, da lahko zakomentirajte zadnji - 772 00:37:59,860 --> 00:38:05,770 OK, kaj lahko storim, je, ne morem komentirati ven - tako da je lahko pogled na - mi dovolite, 773 00:38:05,770 --> 00:38:07,920 odprto besedilo za urejanje datoteke. 774 00:38:07,920 --> 00:38:09,610 Dovolite mi, da to uredi Tukaj neposredno. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Lahko vi videli, da je jasno? 778 00:38:23,710 --> 00:38:29,730 Kaj lahko storim, je, ne morem komentirati od prejšnjega. 779 00:38:29,730 --> 00:38:32,190 To bo zakomentirajte zadnjega. 780 00:38:32,190 --> 00:38:36,760 In potem bom dal enega tukaj, dal vse zlonamerne stvari tukaj. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Torej, uporabnik je dejansko vnašanja, kajne? 783 00:38:42,630 --> 00:38:45,230 Uporabnik ni vnesla stvari, kajne? 784 00:38:45,230 --> 00:38:47,430 To je tisto, kar bom vhoda, kot oseba, ki poskuša priti noter. 785 00:38:47,430 --> 00:38:49,430 Bom dal v - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 to je en narekovaj. 788 00:39:00,180 --> 00:39:01,760 To je samo squiggly po pomoti. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 In kaj potem koda je storila - 791 00:39:19,400 --> 00:39:20,190 Žal mi je, da bom vzeti ven. 792 00:39:20,190 --> 00:39:22,170 Kaj je koda bo naredil, je to se dogaja, da dodate prvi 793 00:39:22,170 --> 00:39:24,030 Narekovaji tukaj. 794 00:39:24,030 --> 00:39:26,040 In to se dogaja, da dodate zadnji narekovaj kot dobro. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> In to tudi dogaja, da dodate zadnja, zadnja narekovaj. 797 00:39:33,270 --> 00:39:37,380 Ampak jaz sem komentiral te kotacije Ocene ven, tako da ne teče. 798 00:39:37,380 --> 00:39:41,440 In jaz koncu tega citata označite tukaj. 799 00:39:41,440 --> 00:39:42,290 Razumete? 800 00:39:42,290 --> 00:39:43,750 Ali ste se izgubili? 801 00:39:43,750 --> 00:39:45,880 Ne morem komentirati zadnjo ponudbo mark, in poskrbel za 802 00:39:45,880 --> 00:39:46,680 Prvi narekovaj. 803 00:39:46,680 --> 00:39:47,350 >> PUBLIKA: In ravno zaščita prvi. 804 00:39:47,350 --> 00:39:47,480 >> LUCIANO Arango: Ja. 805 00:39:47,480 --> 00:39:48,400 In ravno končal prvo. 806 00:39:48,400 --> 00:39:48,790 Ja, to je res. 807 00:39:48,790 --> 00:39:50,800 To je tisto, kar lahko storim. 808 00:39:50,800 --> 00:39:51,890 Ja. 809 00:39:51,890 --> 00:39:52,980 Katera koli druga vprašanja, kot je ta? 810 00:39:52,980 --> 00:39:54,230 To je veliko vprašanje. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 No, ja, mogoče. 813 00:39:59,790 --> 00:40:06,150 Upajmo, da bodo fantje nekako narediti bolj občutek, ko si študija SQL in 814 00:40:06,150 --> 00:40:06,650 take stvari. 815 00:40:06,650 --> 00:40:07,980 Ampak poskrbite, da - 816 00:40:07,980 --> 00:40:10,340 da teh orodij v uro. 817 00:40:10,340 --> 00:40:12,760 Oprostite, ta orodja več tukaj. 818 00:40:12,760 --> 00:40:14,200 Ta orodja so super. 819 00:40:14,200 --> 00:40:17,190 Če ima kdo kakšna vprašanja, me lahko tudi preko elektronske pošte. 820 00:40:17,190 --> 00:40:19,020 To je moja normalna email. 821 00:40:19,020 --> 00:40:25,015 In to je moje delo, e-pošta, ki je, ko delam na morju. 822 00:40:25,015 --> 00:40:26,040 >> OK, hvala. 823 00:40:26,040 --> 00:40:26,740 Hvala, fantje. 824 00:40:26,740 --> 00:40:27,860 Ste na dobri poti. 825 00:40:27,860 --> 00:40:28,830 Vam ni treba ostati tukaj. 826 00:40:28,830 --> 00:40:29,570 Ne aplavzom pozdravilo domače. 827 00:40:29,570 --> 00:40:30,170 To je čudno. 828 00:40:30,170 --> 00:40:31,420 OK, hvala, fantje. 829 00:40:31,420 --> 00:40:32,320