1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> Luciano Arango: OK, djema. 3 00:00:10,300 --> 00:00:11,550 Emri im është Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Unë jam një i paedukuar mjaft në Adams House. 5 00:00:13,915 --> 00:00:17,550 Dhe ne do të jetë duke folur për sigurisë web mbrojtjes aktive. 6 00:00:17,550 --> 00:00:24,220 Kështu që unë punoj për Zyrën e Informacionit Siguria në dete. 7 00:00:24,220 --> 00:00:28,670 Dhe gjatë verës, unë internuar në SeguraTec, e cila ishte një informacion 8 00:00:28,670 --> 00:00:31,310 kompani e sigurimit që ka shërbyer për Bankën e Columbia. 9 00:00:31,310 --> 00:00:34,740 Kjo është kryesisht ku kam mësuar ajo që unë kam mësuar deri më tani. 10 00:00:34,740 --> 00:00:37,990 >> Dhe kështu disa nga materialet që jeni do të shkoj për sot, ne nuk kemi 11 00:00:37,990 --> 00:00:39,670 biseduar me të vërtetë për në klasë. 12 00:00:39,670 --> 00:00:40,410 Por ne do të së shpejti. 13 00:00:40,410 --> 00:00:42,360 Ajo do të jetë si SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 Dhe ne nuk kemi shkuar me të vërtetë mbi të. 15 00:00:44,870 --> 00:00:47,730 Kështu që unë mund të lloj të fluturimit nëpërmjet saj, dhe ju nuk mund të di disa gjëra. 16 00:00:47,730 --> 00:00:48,890 Por shpejt, ju do të mësoni atë. 17 00:00:48,890 --> 00:00:52,080 Dhe kjo do të të gjithë kuptim. 18 00:00:52,080 --> 00:00:54,010 Gjithashtu një tjetër gjë - 19 00:00:54,010 --> 00:00:55,780 qëndrojnë etike. 20 00:00:55,780 --> 00:01:00,560 Disa nga gjërat që ju të mësoni, ju mund të përdorin në mënyra jo-etike. 21 00:01:00,560 --> 00:01:01,950 >> Nëse është e juaja, patjetër provoni. 22 00:01:01,950 --> 00:01:04,500 Unë patjetër të motivuar ju djema për të provoni serverat tuaj, provoni 23 00:01:04,500 --> 00:01:05,519 duke shkuar brenda tyre. 24 00:01:05,519 --> 00:01:08,500 Shihni nëse mund të depërtojnë ata, në qoftë se ju mund të merrni brenda tyre. 25 00:01:08,500 --> 00:01:09,560 Por jo dikush tjetër është. 26 00:01:09,560 --> 00:01:12,390 Policët nuk e vërtetë si shaka dhe e tërë, ne kemi vënë këtë këtu. 27 00:01:12,390 --> 00:01:14,040 Ne u messing rreth. 28 00:01:14,040 --> 00:01:15,780 Ata me të vërtetë të zemëruar. 29 00:01:15,780 --> 00:01:18,700 >> Pra, kokë e në këtë website. 30 00:01:18,700 --> 00:01:23,560 Unë kam të hapur të drejtë këtu. 31 00:01:23,560 --> 00:01:26,780 Kjo është një faqe interneti, dhe kjo ka një bandë e shembuj. 32 00:01:26,780 --> 00:01:30,000 Çfarë ndodh është se shembulli i parë është lloj i do të jetë shumë më e lehtë 33 00:01:30,000 --> 00:01:33,470 se shembullin e fundit në një kuptim se shembulli i parë 34 00:01:33,470 --> 00:01:34,970 është plotësisht i pasigurt. 35 00:01:34,970 --> 00:01:40,850 Dhe e fundit është lloj i asaj që një person normal të sigurisë web do të bëjë. 36 00:01:40,850 --> 00:01:42,760 Por ju prapë mund të lloj të marrë rreth se. 37 00:01:42,760 --> 00:01:44,860 Dhe ne jemi duke shkuar për duke u fokusuar në një dhe dy, shembuj një dhe dy. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Le të fillojmë me cross-site scripting. 41 00:01:52,780 --> 00:01:56,100 JavaScript është e drejtuar në Shfletuesi e klientit. 42 00:01:56,100 --> 00:01:59,980 Kjo është një gjuhë programimi që ju përdorni për të kandiduar në shfletuesin e klientit në mënyrë 43 00:01:59,980 --> 00:02:04,120 ju nuk keni për të rinovuar faqen e internetit dhe të kthehemi në server. 44 00:02:04,120 --> 00:02:04,940 Ju keni atë running. 45 00:02:04,940 --> 00:02:08,870 Për shembull, Facebook, ju nuk keni të rifreskoni faqen e internetit për statusin e ri 46 00:02:08,870 --> 00:02:09,710 më të reja për të dalë. 47 00:02:09,710 --> 00:02:12,170 Është përdorur JavaScript për të gjeneruar të gjitha këto gjëra. 48 00:02:12,170 --> 00:02:16,290 Pra, ne mund të merr injeksion me qëllim të keq JavaScript në faqet e internetit. 49 00:02:16,290 --> 00:02:20,890 Dhe në këtë mënyrë, kur të dërgoni një lidhje për të dikush, ne mund të lloj dërgoni me 50 00:02:20,890 --> 00:02:23,050 disa të kodit që ne duam. 51 00:02:23,050 --> 00:02:26,450 >> Ka vazhdueshme dhe jo të vazhdueshme JavaScript - 52 00:02:26,450 --> 00:02:30,640 vazhdueshme dhe jo-të vazhdueshme ndër-faqen scripting, dua të them. 53 00:02:30,640 --> 00:02:33,760 Dhe dallimi është se vazhdueshme është JavaScript që do të jetë 54 00:02:33,760 --> 00:02:36,060 ruhen në faqen e internetit. 55 00:02:36,060 --> 00:02:39,780 Dhe jo të vazhdueshme do të jetë JavaScript që në të vërtetë do të ndodhë vetëm një herë. 56 00:02:39,780 --> 00:02:41,795 Pra, le të shohim një shembull vërtetë të shpejtë. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Pra këtë website, thjeshtë, asgjë nuk ndodh këtu. 60 00:02:51,620 --> 00:02:53,070 Dhe ne do të përpiqemi për të futur ndonjë JavaScript. 61 00:02:53,070 --> 00:02:58,110 Pra, mënyra se si filloni të shkruani JavaScript po ne fillim me shkrimin fillim. 62 00:02:58,110 --> 00:03:00,570 Dhe ne mbyllim atë me shkrimin. 63 00:03:00,570 --> 00:03:03,770 Ne jemi thjesht duke shkuar për të vënë një mesazh - 64 00:03:03,770 --> 00:03:05,410 Unë do t'ju tregoj - 65 00:03:05,410 --> 00:03:06,500 vigjilent. 66 00:03:06,500 --> 00:03:11,150 Alert është një funksion që JavaScript përdor për të shfaqur diçka. 67 00:03:11,150 --> 00:03:12,400 Pra, le të provoni të shpejtë të vërtetë. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Unë jam duke shkuar për të shkuar, përshëndetje vigjilent. 70 00:03:18,944 --> 00:03:20,400 E pra, kam harruar për të vënë - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Pra, kjo është e thjeshtë. 74 00:03:26,540 --> 00:03:28,730 >> Ne kemi vënë JavaScript në një faqe interneti, dhe ai doli. 75 00:03:28,730 --> 00:03:31,200 Dhe kjo lloj ndodh vetëm në faqen tonë të internetit, e drejtë? 76 00:03:31,200 --> 00:03:33,040 Pra, duket sikur nuk është një problem, apo jo? 77 00:03:33,040 --> 00:03:34,920 Unë do të thotë, se si mund ta përdorni kjo me keqdashje? 78 00:03:34,920 --> 00:03:39,930 Pra, mënyra se hakerat bëjnë kjo është me të vërtetë e thjeshtë. 79 00:03:39,930 --> 00:03:40,970 Ata do të rrëmbej atë. 80 00:03:40,970 --> 00:03:43,750 Ata mund të dërgoni këtë lidhje për ju. 81 00:03:43,750 --> 00:03:46,780 Nëse unë do të dërgoj këtë link për ju tani për tani, dhe ju të hapur atë, ajo do të 82 00:03:46,780 --> 00:03:51,620 thonë, hello, duke thënë se faqja ime është thënë ju përshëndetje. 83 00:03:51,620 --> 00:03:57,280 >> Dhe kështu që nëse unë do të them diçka pak më të zgjuar, në qoftë se unë tërheq lart një 84 00:03:57,280 --> 00:03:59,880 JavaScript Funksioni I lloj i tashmë e ka shkruar - 85 00:03:59,880 --> 00:04:03,940 por në qoftë se ju shikoni në atë, unë do të shkoj mbi të para se kam shkruar atë. 86 00:04:03,940 --> 00:04:06,650 Pra, ne jemi duke shkuar për të vendosur një timeout. 87 00:04:06,650 --> 00:04:08,450 Ne jemi duke shkuar për të pritur nja dy sekonda. 88 00:04:08,450 --> 00:04:13,970 Në fakt, ne do të presim, nëse Unë nuk jam i gabuar, pesë sekonda. 89 00:04:13,970 --> 00:04:15,870 Kjo shkon në milisekonda. 90 00:04:15,870 --> 00:04:18,640 Dhe pastaj ajo që ne jemi duke shkuar për të bërë është që ne jemi duke shkuar për të njoftuar se login 91 00:04:18,640 --> 00:04:21,459 mbaroi koha të hyni përsëri in 92 00:04:21,459 --> 00:04:23,990 Dhe ne jemi duke shkuar për të ndryshuar vendin në një vend tjetër. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Pra, nëse unë dërgoj këtë faqe interneti për dikë, ata do të jenë të 95 00:04:32,970 --> 00:04:34,380 shikuar përreth, të qetë. 96 00:04:34,380 --> 00:04:35,650 Asgjë nuk po ndodh. 97 00:04:35,650 --> 00:04:38,550 Dhe në pesë sekonda, ajo do për të thënë, login juaj mbaroi koha. 98 00:04:38,550 --> 00:04:40,200 Ju lutem, hyni përsëri in 99 00:04:40,200 --> 00:04:43,400 Pasi ata klikoni OK, unë jam duke shkuar për t'i çuar në një faqe interneti. 100 00:04:43,400 --> 00:04:45,980 Me sa duket, në faqen e internetit do të të jenë të ngjashme me faqen e internetit që 101 00:04:45,980 --> 00:04:47,280 ata ishin në para. 102 00:04:47,280 --> 00:04:50,770 Dhe ata do të hyni e tyre Kredencialet Në web faqen time në vend të 103 00:04:50,770 --> 00:04:51,850 faqen e internetit e tyre. 104 00:04:51,850 --> 00:04:54,780 >> Dhe kështu që unë mund të dërgoni njerëz një email me këtë link. 105 00:04:54,780 --> 00:04:56,240 Unë them, oh, këtu është një lidhje. 106 00:04:56,240 --> 00:04:57,290 Kjo është një bankë, për shembull. 107 00:04:57,290 --> 00:05:01,390 Unë them, këtu, shko ne kete link. 108 00:05:01,390 --> 00:05:03,730 Dhe një herë ata dërgojnë atë, ata janë do të jetë duke shikuar përreth. 109 00:05:03,730 --> 00:05:07,560 Unë mund të prisni për 15 sekonda, 20 sekonda, dhe pastaj pop që ju lutem hyni përsëri në 110 00:05:07,560 --> 00:05:08,840 nënshkruajë përsëri në. 111 00:05:08,840 --> 00:05:10,120 Ju djema mund ta provoni atë me shumë më shumë gjëra. 112 00:05:10,120 --> 00:05:13,190 Është e komplikuar për shkak se ju djema nuk e kanë parë JavaScript, kështu që ju mund 113 00:05:13,190 --> 00:05:14,750 nuk e di se disa funksione. 114 00:05:14,750 --> 00:05:18,625 Por të gjithë ju duhet të bëni është të fillojë me shkrimin, të përfundojë me shkrimin. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 Dhe ju mund të vënë çdo gjë në mes. 117 00:05:25,510 --> 00:05:27,350 >> Alert është një funksion, prisni për. 118 00:05:27,350 --> 00:05:29,365 Vendndodhja Window ju merr në një vend të ri. 119 00:05:29,365 --> 00:05:31,370 Por ju mund të bëni shumë më shumë. 120 00:05:31,370 --> 00:05:32,630 Dhe kështu ideja është që kemi marrë atë jashtë. 121 00:05:32,630 --> 00:05:39,350 Nëse unë shkoj për shembull dy, dhe unë vënë në këtë kod të njëjtë, është e 122 00:05:39,350 --> 00:05:40,210 nuk do të punojnë. 123 00:05:40,210 --> 00:05:43,620 Pra, është e shtypjes çdo gjë jashtë për shkak se çfarë ky website fillimisht 124 00:05:43,620 --> 00:05:50,350 nuk është në qoftë se kam vënë asgjë këtu, ajo do të shtypura atë të drejtë këtu. 125 00:05:50,350 --> 00:05:52,390 Pra, kjo nuk është shtypje asgjë jashtë. 126 00:05:52,390 --> 00:05:55,560 Ky shembull është në të vërtetë duke kontrolluar për të parë nëse dorëshkrim është atje. 127 00:05:55,560 --> 00:05:57,163 Pra, vërtet, të shkojnë përpara. 128 00:05:57,163 --> 00:05:57,606 Pyetni mua. 129 00:05:57,606 --> 00:05:59,560 >> Audienca: A nuk është dërguar një të marrë ose të postoni kërkesë? 130 00:05:59,560 --> 00:06:00,670 >> Luciano Arango: Po. ata janë dërguar një kërkesë të merrni. 131 00:06:00,670 --> 00:06:01,350 >> Audienca: Kjo është? 132 00:06:01,350 --> 00:06:02,490 >> Luciano Arango: Po. 133 00:06:02,490 --> 00:06:04,030 Gjithashtu shfletues përdorni kërkesa postare. 134 00:06:04,030 --> 00:06:07,470 Por unë jam duke u përpjekur për të treguar kërkesat marrë kështu që ne mund të shohim se çfarë është 135 00:06:07,470 --> 00:06:10,760 në të vërtetë ndodh. 136 00:06:10,760 --> 00:06:12,880 Dhe kështu nëse ne shikojmë në këtë kod - kështu që nuk është duke punuar më. 137 00:06:12,880 --> 00:06:24,870 Dhe në qoftë se ne bëjmë një vështrim në këtë kod, ajo do të jetë në shembull dy. 138 00:06:24,870 --> 00:06:29,300 Ajo që ky person është duke bërë, personi i në krye të këtij shfletuesit - 139 00:06:29,300 --> 00:06:35,370 hapur, OK - 140 00:06:35,370 --> 00:06:39,290 po zëvendëson fjalën script. 141 00:06:39,290 --> 00:06:42,850 Kjo është e PHP, e cila ju djema mund kanë parë pak ende. 142 00:06:42,850 --> 00:06:46,250 >> Ai është vetëm duke zëvendësuar script fjalë me emrin. 143 00:06:46,250 --> 00:06:50,895 Pra megjithatë, kur të shkoj përpara dhe vetëm vënë në - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 në qoftë se unë kap kodin tim përsëri, dhe unë jam duke shkuar për të modifikuar atë vetëm pak. 146 00:07:02,360 --> 00:07:15,010 Në vend të shkrimit, unë jam duke shkuar për të ndryshuar ajo për skenar me një kapital R. Dhe 147 00:07:15,010 --> 00:07:16,390 ne jemi duke shkuar për të parë nëse ky kod punon. 148 00:07:16,390 --> 00:07:19,090 Kështu që nuk ka të shtypura it out, e cila është një shenjë e mirë. 149 00:07:19,090 --> 00:07:21,990 Dhe shpresojmë se në dy sekonda më shumë, ajo do të pop-up. 150 00:07:21,990 --> 00:07:22,820 >> Login juaj mbaroi koha. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Nuk ka problem. 153 00:07:24,460 --> 00:07:27,670 Pra, duke kontrolluar për skenar mund jo domosdoshmërisht të punuar. 154 00:07:27,670 --> 00:07:28,130 Personi - 155 00:07:28,130 --> 00:07:32,290 ai gjithashtu mund të shikoni për uppercase script, vogle script, rasti str 156 00:07:32,290 --> 00:07:34,180 krahasoni, sigurohuni që ata janë të njëjta. 157 00:07:34,180 --> 00:07:38,480 Por hacker ende mund të bëjë atë lloj të ne e bëmë në Vigenere kur kemi lëvizur 158 00:07:38,480 --> 00:07:40,620 karaktere përsëri një çift, të ecur përpara. 159 00:07:40,620 --> 00:07:43,470 Dhe kjo mund të kuptoj se si të vënë script kthehet në atje kështu që mund të injektuar 160 00:07:43,470 --> 00:07:44,460 se script. 161 00:07:44,460 --> 00:07:50,370 >> Pra, ajo që ju doni të përdorni është htmlspecialchars të 162 00:07:50,370 --> 00:07:51,330 të mbrojtur faqen tuaj te internetit. 163 00:07:51,330 --> 00:07:56,490 Dhe ajo që kjo nuk është ajo e bën i sigurt se ajo që keni vënë në - 164 00:07:56,490 --> 00:07:59,610 për shembull, citatet apo kjo më e madhe se ose me pak se - 165 00:07:59,610 --> 00:08:04,701 është zëvendësuar me diçka se nuk do të jetë - 166 00:08:04,701 --> 00:08:05,951 më lejoni të zoom në këtu - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 simbol aktuale. 169 00:08:09,685 --> 00:08:13,420 Ajo do të zëvendësojë ato HTML veçantë karaktere që ne do të shohim kur jemi 170 00:08:13,420 --> 00:08:14,670 duke folur për - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 oh, kjo do të marrë më mbrapa për të - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 këto karaktere të drejtë këtu. 175 00:08:25,380 --> 00:08:28,180 >> Këto të ditur se diçka po vjen. 176 00:08:28,180 --> 00:08:31,570 Për HTML, këtë parantezë duke filluar na tregon se diçka 177 00:08:31,570 --> 00:08:33,299 HTML lidhur po vjen. 178 00:08:33,299 --> 00:08:33,980 Dhe ne duam që të heqin qafe këtë. 179 00:08:33,980 --> 00:08:36,200 Ne nuk duam të vënë HTML në një website.k Ne nuk duam përdoruesit të jenë të 180 00:08:36,200 --> 00:08:40,260 në gjendje për të vënë diçka në web faqen e tyre që mund të ndikojë në faqen e tyre, si 181 00:08:40,260 --> 00:08:43,480 script ose HTML ose diçka të tillë. 182 00:08:43,480 --> 00:08:53,090 Çfarë është e rëndësishme është që të ju Sanitize input të përdoruesit. 183 00:08:53,090 --> 00:08:54,720 >> Pra, përdoruesit mund të dhëna shumë gjëra. 184 00:08:54,720 --> 00:08:58,110 Ai mund të dhëna një bandë e stuff për ta provuar për mashtrim në shfletuesin tuaj ende 185 00:08:58,110 --> 00:08:59,410 duke këtë kod script. 186 00:08:59,410 --> 00:09:02,870 Çfarë doni të bëni është jo vetëm shikoni për shkrimin, por shikoni për çdo gjë 187 00:09:02,870 --> 00:09:04,250 që mund të jetë me qëllim të keq. 188 00:09:04,250 --> 00:09:06,800 Dhe htmlspecialchars do të bëjë që për ju, kështu që ju nuk keni 189 00:09:06,800 --> 00:09:07,340 për t'u shqetësuar në lidhje me të. 190 00:09:07,340 --> 00:09:12,280 Por nuk do të përpiqet për të bërë me veten lloj me kodin tuaj. 191 00:09:12,280 --> 00:09:14,055 A është e qartë për të gjithë XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Le të shkojnë në SQL injeksion. 194 00:09:16,355 --> 00:09:21,010 Pra SQL injeksion është ndoshta Numri një dobësi 195 00:09:21,010 --> 00:09:22,490 në faqet e internetit të ndryshme. 196 00:09:22,490 --> 00:09:24,350 Unë do të thotë, një shembull të mirë - 197 00:09:24,350 --> 00:09:27,350 Unë kam qenë vetëm studjon shkuar edhe më për këtë gjë. 198 00:09:27,350 --> 00:09:34,430 Dhe kam gjetur këtë artikull tmerrshëm, ku Unë pashë se Harvard u shkelur, 199 00:09:34,430 --> 00:09:35,390 ishte hacked. 200 00:09:35,390 --> 00:09:37,370 Dhe unë u pyesin, mirë, si do ata e bëjnë këtë? 201 00:09:37,370 --> 00:09:41,660 Harvard është më e tmerrshme, më të siguruar universitetin ndonjëherë. 202 00:09:41,660 --> 00:09:43,850 E drejtë? 203 00:09:43,850 --> 00:09:45,410 E pra, për të shkelur servers, hakerat përdorur një 204 00:09:45,410 --> 00:09:47,710 teknikë të quajtur SQL injeksion. 205 00:09:47,710 --> 00:09:50,250 >> Pra, kjo ndodh në një ditë në baza ditore. 206 00:09:50,250 --> 00:09:53,590 Njerëzit harrojnë për të marrë parasysh për SQL injeksion. 207 00:09:53,590 --> 00:09:54,930 Harvard bën. 208 00:09:54,930 --> 00:10:00,050 Unë mendoj se ai thotë se këtu, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Pra, si nuk kemi - kështu që çfarë është kjo SQL injeksion që është duke sjellë të gjitha këto 210 00:10:03,550 --> 00:10:05,668 njerëzit poshtë? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Pra SQL është një gjuhë programimi që ne i përdorim për të hyrë në bazat e të dhënave. 213 00:10:12,090 --> 00:10:14,560 Ajo që ne bëjmë është që të zgjidhni - 214 00:10:14,560 --> 00:10:18,510 kështu që ajo që ky lexon tani është të zgjidhni çdo gjë nga tabela. 215 00:10:18,510 --> 00:10:22,640 >> SQL, ajo ndryshon në këto baza të dhënash që kanë tabela të plotë të informacionit. 216 00:10:22,640 --> 00:10:26,550 Pra, zgjidhni çdo gjë nga përdoruesit ku emri është emri i përdoruesit. 217 00:10:26,550 --> 00:10:28,120 E drejtë? 218 00:10:28,120 --> 00:10:30,770 Mjaft e thjeshtë. 219 00:10:30,770 --> 00:10:34,490 Ideja e SQL injeksion është se ne futur disa të dëmshme që do të 220 00:10:34,490 --> 00:10:37,270 mashtrim server running në diçka të ndryshme se ajo që 221 00:10:37,270 --> 00:10:38,430 fillimisht ishte running. 222 00:10:38,430 --> 00:10:44,970 Pra, le të themi për emrin, ne kemi vënë në ose 1 është e barabartë me 1. 223 00:10:44,970 --> 00:10:46,700 Pra, ne kemi vënë në ose 1 është e barabartë me 1. 224 00:10:46,700 --> 00:10:49,890 Mënyra se si do të lexoni tani do të jetë i zgjedhur nga përdoruesit, çdo gjë nga 225 00:10:49,890 --> 00:10:51,360 përdoruesit - kjo është çdo gjë - 226 00:10:51,360 --> 00:10:55,880 ku emri është emri i përdoruesit, por emri i përdoruesit është ose 1 është e barabartë me 1. 227 00:10:55,880 --> 00:11:01,760 >> Pra, emri nuk është asgjë ose 1 është e barabartë me 1. 228 00:11:01,760 --> 00:11:04,060 1 është e barabartë me 1 është gjithmonë e vërtetë. 229 00:11:04,060 --> 00:11:07,690 Pra, kjo gjithmonë do të kthehen informacion nga përdoruesit. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Ne nuk duhet të kemi emrin e saktë. 232 00:11:10,030 --> 00:11:14,240 Ne vetëm mund të ketë ndonjë gjë që ne duam, dhe ajo do të kthehet informacione 233 00:11:14,240 --> 00:11:15,690 që ne kemi nevojë. 234 00:11:15,690 --> 00:11:17,160 Le të shikojmë një shembull tjetër. 235 00:11:17,160 --> 00:11:22,720 >> Në qoftë se ne kemi zgjedhur çdo gjë nga përdoruesit, ku emri i përdoruesit është TABELA DROP - 236 00:11:22,720 --> 00:11:26,420 kështu që çfarë mendoni ju kjo do të bëj në qoftë se kam vënë në emrin e përdoruesit 237 00:11:26,420 --> 00:11:29,560 si përdorues DROP TABELA? 238 00:11:29,560 --> 00:11:30,230 Çdokush keni një ide? 239 00:11:30,230 --> 00:11:31,050 Po. 240 00:11:31,050 --> 00:11:32,470 >> Audienca: Ajo do të tregojë ajo për të hale të gjitha tabelat. 241 00:11:32,470 --> 00:11:35,460 >> Luciano Arango: Ajo do të na tregoni për të hale çdo gjë në faqen e internetit, 242 00:11:35,460 --> 00:11:38,290 çdo gjë në bazën e të dhënave. 243 00:11:38,290 --> 00:11:41,910 Dhe ajo që njerëzit e përdorin këtë për - kështu Unë jam duke shkuar për të treguar ju djema. 244 00:11:41,910 --> 00:11:45,462 Unë me aftësi të kufizuara në rënie tabelat sepse unë nuk dua që ju 245 00:11:45,462 --> 00:11:48,240 djema për rënie tavolina e mia. 246 00:11:48,240 --> 00:11:49,850 Le të hidhni një sy në këtë. 247 00:11:49,850 --> 00:11:54,410 Pra, kjo thjesht tërheq deri informacionin për një person të caktuar. 248 00:11:54,410 --> 00:11:57,550 Pra, si mund ta dimë nëse kjo është prekur nga SQL injeksion. 249 00:11:57,550 --> 00:12:01,545 Ne jemi duke shkuar për të kontrolluar të shpejtë të vërtetë në qoftë se ne mund të vënë diçka - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 më lejoni të kopjuar këtë kod. 252 00:12:06,080 --> 00:12:08,140 Unë jam duke shkuar për të shkuar mbi të në një të dytë. 253 00:12:08,140 --> 00:12:12,210 Unë jam duke shkuar për të vënë rrënjë dhe 1 është e barabartë me 1. 254 00:12:12,210 --> 00:12:15,510 >> Kjo e drejtë këtu, kjo qind shenjë 23 - 255 00:12:15,510 --> 00:12:19,970 çfarë është me të vërtetë, në qoftë se unë duket e drejtë këtu në - 256 00:12:19,970 --> 00:12:23,820 mënyra HTML merr në numër, në qoftë se ju marrë një vështrim në kur unë vë në një hapësirë ​​të 257 00:12:23,820 --> 00:12:28,380 këtu - në qoftë se unë do të diçka të hapësirës këtu, ajo ndryshon atë në një për qind 2. 258 00:12:28,380 --> 00:12:31,420 A e shihni këtë ju djema të drejtë këtu kur kam vënë në një hapësirë? 259 00:12:31,420 --> 00:12:36,710 Mënyra se si punon është që ju vetëm mund të dërgoni vlerat ASCII nëpërmjet HTML. 260 00:12:36,710 --> 00:12:40,330 Kështu që ajo zëvendëson, për shembull, një hapësirë ​​me 20 për qind. 261 00:12:40,330 --> 00:12:41,970 Unë nuk e di nëse ju djema kemi parë se më parë. 262 00:12:41,970 --> 00:12:45,100 >> Ajo zëvendëson një hashtag me 23 për qind. 263 00:12:45,100 --> 00:12:50,840 Ne kemi nevojë për një hashtag në fund të ose deklaratë në mënyrë që ne mund të them 264 00:12:50,840 --> 00:13:00,885 bazës së të dhënave për të harruar për të komentuar nga kjo e fundit pikëpresje në fund. 265 00:13:00,885 --> 00:13:03,060 Ne duam që të mos mendojnë për këtë. 266 00:13:03,060 --> 00:13:05,980 Ne vetëm duam që ajo të drejtuar çdo gjë që ne kemi parë dhe 267 00:13:05,980 --> 00:13:07,450 komentojnë se nga. 268 00:13:07,450 --> 00:13:08,710 Le të bëjmë një vështrim në të. 269 00:13:08,710 --> 00:13:14,670 >> Pra, nëse unë do të vënë diçka të gabuar - le të themi për shembull, kam vënë 2 është e barabartë me 270 00:13:14,670 --> 00:13:15,690 1, kjo nuk më jep mua asgjë. 271 00:13:15,690 --> 00:13:22,930 Kur kam vënë në 1 është e barabartë me 1, dhe kjo e bën kthyer diçka, kjo tregon se 272 00:13:22,930 --> 00:13:24,660 kjo është e ndjeshme ndaj një injeksion SQL. 273 00:13:24,660 --> 00:13:29,090 Unë e di tani se çdo gjë që I vënë pas kësaj - 274 00:13:29,090 --> 00:13:39,110 dhe për shembull, DROP TABELAT ose diçka të tillë 275 00:13:39,110 --> 00:13:41,190 patjetër do të punojnë. 276 00:13:41,190 --> 00:13:44,350 Unë e di se është e ndjeshme ndaj SQL injeksion sepse unë e di se 277 00:13:44,350 --> 00:13:49,850 nën kapuç, është lënë bëj 1 është e barabartë me 1 gjë. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> Dhe nëse ne shikojmë këta të tjera, numër dy dhe numri tre, është e 281 00:13:56,540 --> 00:13:59,110 do të bëjë pak më shumë e kontrolluar nën 282 00:13:59,110 --> 00:14:03,680 individualitet e asaj që është. 283 00:14:03,680 --> 00:14:07,425 Pra dikush mundësuar rënie çdo gjë akoma apo provuar? 284 00:14:07,425 --> 00:14:08,760 A ju djema lloj merrni SQL ende? 285 00:14:08,760 --> 00:14:10,430 Sepse unë e di se ju djema nuk kanë parë atë ende, kështu që është lloj i 286 00:14:10,430 --> 00:14:11,759 konfuze për ju djema. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Le të bëjmë një vështrim. 289 00:14:18,480 --> 00:14:21,270 Pra, çfarë është mënyra për të parandaluar SQLI? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Pra, kjo është me të vërtetë e rëndësishme, sepse ju djema patjetër duan të parandaluar 292 00:14:23,330 --> 00:14:24,090 këtë në faqet e internetit tuaj. 293 00:14:24,090 --> 00:14:28,040 >> Nëse jo, të gjithë miqtë tuaj do të të bëjë shaka me ju, kur ata heqin të gjithë 294 00:14:28,040 --> 00:14:29,390 tavolina tuaj. 295 00:14:29,390 --> 00:14:36,150 Pra, ideja është që ju të riparimin e SQL në një mënyrë të caktuar, kurse ju ndeshje 296 00:14:36,150 --> 00:14:41,940 atë që inputet e përdoruesit me një varg të caktuar. 297 00:14:41,940 --> 00:14:46,120 Pra, rruga punon kjo është që ju përgatisë bazën e të dhënave. 298 00:14:46,120 --> 00:14:50,830 Ju zgjidhni emrin, ngjyra, dhe kalorive nga një bazë të dhënash të quajtur fruta. 299 00:14:50,830 --> 00:14:53,580 Dhe pastaj ku kalori është më pak se, dhe ne kemi vënë një pikëpyetje atje 300 00:14:53,580 --> 00:14:56,530 duke thënë se ne jemi duke shkuar për të dhëna diçka në një të dytë. 301 00:14:56,530 --> 00:14:58,850 >> Dhe ngjyra është e barabartë, dhe ne kemi vënë një pyetje shenjë duke thënë se ne do të 302 00:14:58,850 --> 00:15:00,913 diçka input në një të dytë si. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 Dhe atëherë ne ekzekutuar atë, duke në 150 dhe të kuqe. 305 00:15:09,920 --> 00:15:12,820 Dhe kjo do të kontrollojë për të bërë i sigurt se këto dy - 306 00:15:12,820 --> 00:15:15,300 ky grup do të kontrollojë se këto dy jane nje numer i plote dhe 307 00:15:15,300 --> 00:15:16,550 se ky është një varg. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Pastaj ne do të shkojmë, dhe të shkoj të marr gjitha, ne kemi vënë atë në të kuqe. 310 00:15:20,890 --> 00:15:21,964 Kjo do të thotë që ne të shkoj të marr të gjithë. 311 00:15:21,964 --> 00:15:26,790 Kjo do të thotë që ne të vërtetë të ekzekutuar SQL Deklarata dhe e vuri përsëri në të kuqe. 312 00:15:26,790 --> 00:15:30,530 Këtu kemi të bëjmë të njëjtën gjë, por ne bëjnë të njëjtën për të verdhë. 313 00:15:30,530 --> 00:15:32,490 Dhe ne të shkoj të marr të gjithë. 314 00:15:32,490 --> 00:15:36,140 >> Dhe në këtë mënyrë, ne të parandaluar përdoruesit nga të qenit në gjendje për të dhëna diçka 315 00:15:36,140 --> 00:15:41,710 kjo nuk është ajo që ne e specifikuar, një varg ose një numër i plotë, per shembull. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Unë kam qenë duke folur më parë për duke u mbështetur në të tjerët. 318 00:15:46,610 --> 00:15:50,010 Kur ju djema të fillojë projekti juaj, ju jeni të më patjetër do të përdorin 319 00:15:50,010 --> 00:15:52,310 bootstrap apo diçka të ngjashme. 320 00:15:52,310 --> 00:15:53,490 A ju djema përdorur kurrë Wordpress? 321 00:15:53,490 --> 00:15:57,170 Ndoshta ju djema kanë përdorur Wordpress ka shumë të ngjarë. 322 00:15:57,170 --> 00:16:00,050 Pra, problemi me përdorimin e gjërat e njerëzve të tjerë - 323 00:16:00,050 --> 00:16:05,940 Unë jam vetëm duke shkuar për Quick reale Google Dobësi Wordpress. 324 00:16:05,940 --> 00:16:07,495 >> Nëse unë të tërheqë këtë deri tani - 325 00:16:07,495 --> 00:16:08,995 Unë fjalë për fjalë bëri një dy Google dytë. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Ne mund të shohim se Wordpress - 328 00:16:13,800 --> 00:16:17,450 kjo datë në shtator '12. 329 00:16:17,450 --> 00:16:19,120 26 është përditësuar. 330 00:16:19,120 --> 00:16:23,620 Konfigurimi i parazgjedhur i Wordpress para se 3.6 nuk parandalon këto 331 00:16:23,620 --> 00:16:27,110 Ngarkimet të caktuara, të cilat mund të bëjnë më të lehtë për 332 00:16:27,110 --> 00:16:29,790 cross-site scripting sulmet. 333 00:16:29,790 --> 00:16:34,530 Pra, një histori të shpejtë, një herë ne kemi qenë duke punuar me të - kështu që unë kam qenë, në verë, duke punuar një 334 00:16:34,530 --> 00:16:34,970 stazhit. 335 00:16:34,970 --> 00:16:40,400 Dhe ne kemi qenë duke punuar me lloj të si një kompani kartë krediti të mëdha. 336 00:16:40,400 --> 00:16:42,020 >> Dhe ata mbështeten në diçka të quajtur - 337 00:16:42,020 --> 00:16:45,740 Unë nuk e di nëse ju djema luajtur ndonjëherë me një produkt të quajtur Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla është një produkt që është përdorur për të kontrollit - lloj i ngjashëm me 339 00:16:51,750 --> 00:16:54,340 Wordpress, e përdorur për të ndërtuar faqet e internetit. 340 00:16:54,340 --> 00:16:56,060 Kështu ata kishin web faqen e tyre duke punuar në Joomla. 341 00:16:56,060 --> 00:16:59,290 Kjo është në fakt një kartë krediti Kompania në Kolumbi. 342 00:16:59,290 --> 00:17:01,000 Unë do të ju merr në e tyre Faqja e internetit të vërtetë të shpejtë. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Pra, ata kanë përdorur Joomla. 345 00:17:05,400 --> 00:17:08,630 Dhe ata nuk kishin përditësuar Joomla të fundit të kësaj. 346 00:17:08,630 --> 00:17:12,160 Dhe kështu, kur ne ishim duke marrë një vështrim në Kodi i tyre, ne kemi qenë në gjendje që në fakt 347 00:17:12,160 --> 00:17:18,430 shkoni brenda kodit të tyre dhe të vjedhin të gjitha informacion kartë krediti që ata kishin, 348 00:17:18,430 --> 00:17:21,670 të gjitha numrat e kartës së kreditit, emrat, adresat. 349 00:17:21,670 --> 00:17:22,740 Dhe kjo ishte vetëm - 350 00:17:22,740 --> 00:17:23,569 dhe kodi i tyre ishte i përkryer gjobë. 351 00:17:23,569 --> 00:17:24,710 Ata kishin kodin e madhe. 352 00:17:24,710 --> 00:17:25,389 Kjo ishte e gjitha e sigurisë. 353 00:17:25,389 --> 00:17:26,520 Ata kontrolluar të gjitha bazat e të dhënave. 354 00:17:26,520 --> 00:17:29,020 Ata e bëri të sigurt ndër-faqen scripting ishte mirë. 355 00:17:29,020 --> 00:17:34,390 >> Por ata kanë përdorur diçka që nuk ishte përditësuar, që nuk ishte i sigurt. 356 00:17:34,390 --> 00:17:36,940 Dhe kështu që çoi ata për të - kështu që ju djema janë patjetër do të përdorin të tjera 357 00:17:36,940 --> 00:17:40,650 kod, Kornizat e njerëzve e njerëzve të tjerë për të ndërtuar faqen tuaj te internetit. 358 00:17:40,650 --> 00:17:43,860 Sigurohuni që ata janë të sigurt për shkak se nganjëherë kjo nuk është që ju, ai që 359 00:17:43,860 --> 00:17:44,480 bën një gabim. 360 00:17:44,480 --> 00:17:47,440 Por dikush tjetër bën një gabim, dhe atëherë ju bien poshtë për shkak të kësaj. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Fjalëkalime dhe PII. 363 00:17:53,885 --> 00:17:56,820 Pra fjalëkalime. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Le të bëjmë një vështrim në fjalëkalimet vërtetë të shpejtë. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Ju lutem më thoni që të gjithë përdor të sigurt - 369 00:18:06,520 --> 00:18:09,030 Unë jam duke shpresuar të gjithë këtu përdor fjalëkalime të sigurta. 370 00:18:09,030 --> 00:18:12,890 Unë jam vetëm duke lënë që në si një supozim. 371 00:18:12,890 --> 00:18:14,850 Pra, ju djema janë patjetër do të dyqan fjalëkalimet për faqet e internetit tuaj. 372 00:18:14,850 --> 00:18:17,440 Ju jeni do të bëjë diçka si një login ose diçka të tillë. 373 00:18:17,440 --> 00:18:19,610 Çfarë është e rëndësishme është që të mos ruajtur passwords në tekst të thjeshtë. 374 00:18:19,610 --> 00:18:20,860 Kjo është shumë e rëndësishme. 375 00:18:20,860 --> 00:18:23,960 Ju nuk doni të ruajtur një regjistrohu në tekst të thjeshtë. 376 00:18:23,960 --> 00:18:27,370 >> Dhe ju patjetër nuk duhet të vërtetë duan për të ruajtur atë në një hash një mënyrë. 377 00:18:27,370 --> 00:18:32,440 Pra, atë që një hash një mënyrë është se kur ju gjenerojë një fjalë, kur të vendosni këtë 378 00:18:32,440 --> 00:18:36,200 Fjala në një funksion hash, ajo do të gjeneruar përsëri një lloj të fshehtë 379 00:18:36,200 --> 00:18:39,390 Mesazhi ose grup i fshehtë i çelësat. 380 00:18:39,390 --> 00:18:40,640 Unë do t'ju tregoj një shembull. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Unë do të hash fjalë password1 ata. 383 00:18:50,250 --> 00:18:55,280 Hash MD5 Pra, do të kthehet më një lloj të informatave të pazakontë. 384 00:18:55,280 --> 00:18:59,140 >> Problemi është se njerëzit atje se si për të shkuar në faqet e internetit kanë 385 00:18:59,140 --> 00:19:02,750 motive tashmë se lloj të gjitha hashes MD5. 386 00:19:02,750 --> 00:19:06,030 Ajo që ata kanë është se ata u ul në e tyre kompjutera, dhe ata sheshuar çdo 387 00:19:06,030 --> 00:19:09,660 fjalë e vetme e mundshme atje deri ata patën lloj i asaj që kjo është. 388 00:19:09,660 --> 00:19:11,420 Nëse unë do të shikojmë këtë ide - 389 00:19:11,420 --> 00:19:12,420 Unë vetëm grabbed këtë hash. 390 00:19:12,420 --> 00:19:14,120 Nëse unë të marrë këtë hash nga - 391 00:19:14,120 --> 00:19:17,470 kur të shkoj në një faqe interneti, dhe unë gjej kjo hash sepse unë shkoj në 392 00:19:17,470 --> 00:19:24,100 bazat e të dhënave, dhe unë shoh atë, dikush tashmë artistikisht it out për mua. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Po. 395 00:19:29,100 --> 00:19:35,030 Kështu populli u ul, dhe çfarëdo md5 hash që keni vënë në, ata do të 396 00:19:35,030 --> 00:19:37,760 të kthehet tek ju diçka që është një fjalë. 397 00:19:37,760 --> 00:19:39,800 Nëse unë bej hash një tjetër fjalë, si - 398 00:19:39,800 --> 00:19:42,410 Nuk e di - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Unë nuk dua të jenë të pakënaqur Nga kërkimet e mia Google. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Nuk është, trees2. 403 00:19:52,780 --> 00:19:55,930 Pra, një shumë e faqeve ende përdorin md5 hash. 404 00:19:55,930 --> 00:19:57,730 Ata thonë, oh, kjo është e sigurt. 405 00:19:57,730 --> 00:19:58,570 Ne nuk jemi ruajtjen në tekst të thjeshtë. 406 00:19:58,570 --> 00:19:59,740 Ne kemi këtë hash md5. 407 00:19:59,740 --> 00:20:01,880 Dhe të gjitha unë duhet të bëni është vetëm Google numrin. 408 00:20:01,880 --> 00:20:03,940 >> Unë as nuk kanë për të llogaritur veten. 409 00:20:03,940 --> 00:20:06,790 Unë vetëm mund të Google atë, dhe dikush tashmë e bëri atë për mua. 410 00:20:06,790 --> 00:20:08,010 Këtu ka një bandë e tyre. 411 00:20:08,010 --> 00:20:09,260 Këtu ka një bandë e fjalëkalimet. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Pra, definitivisht nuk e përdorin md5 hash, sepse të gjithë ju duhet të 414 00:20:18,680 --> 00:20:19,140 bëni është të Google ajo. 415 00:20:19,140 --> 00:20:20,390 Pra, çfarë ju doni të përdorni në vend? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Diçka që quhet kriposje. 419 00:20:31,260 --> 00:20:32,460 Pra, çfarë është kriposje - 420 00:20:32,460 --> 00:20:36,280 mendoni ju djema mbani mend kur ishim duke folur për të rastit në - 421 00:20:36,280 --> 00:20:37,920 Unë nuk jam i sigurt se çfarë pset ishte - 422 00:20:37,920 --> 00:20:41,140 ishte ajo pset aty apo katër? 423 00:20:41,140 --> 00:20:45,150 >> Ne ishim duke folur për gjetjen e gjilpërë në kashtë. 424 00:20:45,150 --> 00:20:48,480 Dhe në pset, ajo tha se ju mund të në të vërtetë të kuptoj se çfarë të rastit 425 00:20:48,480 --> 00:20:51,840 gjeneron sepse dikush është tashmë u rastit një milion herë dhe vetëm 426 00:20:51,840 --> 00:20:53,230 lloj formuar atë që ata gjenerojnë. 427 00:20:53,230 --> 00:20:55,840 Çfarë doni të bëni është të vënë në një input. 428 00:20:55,840 --> 00:20:57,130 Pra, kjo është ajo që kriposje lloj është. 429 00:20:57,130 --> 00:21:00,900 Ata tashmë artistikisht se çfarë kriposje kthimit për çdo punë. 430 00:21:00,900 --> 00:21:04,750 >> Pra, çfarë kriposje nuk është ju vënë në një kripë. 431 00:21:04,750 --> 00:21:06,160 Ju vënë në një fjalë të caktuar. 432 00:21:06,160 --> 00:21:09,720 Dhe kjo do të hash atë fjalë në varësi në atë që keni vënë në këtu. 433 00:21:09,720 --> 00:21:13,570 Pra, nëse unë bej hash një fjalëkalimi me këtë fjali, ajo do të hash 434 00:21:13,570 --> 00:21:17,180 ndryshe në qoftë se unë bej hash password1 me një fjali të ndryshme. 435 00:21:17,180 --> 00:21:21,670 Ai lloj i jep atë diku në fillojnë për hashing për të filluar. 436 00:21:21,670 --> 00:21:25,970 Pra, kjo është një shumë e vështirë për të llogaritur, por ju ende mund të llogaritin atë, veçanërisht 437 00:21:25,970 --> 00:21:26,830 në qoftë se ju përdorni një kripë të keq. 438 00:21:26,830 --> 00:21:29,650 >> Njerëzit tashmë kanë motive edhe jashtë kripërat e përbashkëta dhe motive nga 439 00:21:29,650 --> 00:21:31,500 atë që ajo është. 440 00:21:31,500 --> 00:21:34,980 Kripëra të rastësishme janë shumë më mirë, por mënyra më e mirë është që të përdorin 441 00:21:34,980 --> 00:21:38,160 diçka që quhet Crypt. 442 00:21:38,160 --> 00:21:40,480 Dhe çfarë Crypt ju lejon të nuk - kështu që këto funksione janë 443 00:21:40,480 --> 00:21:41,820 ndërtuar tashmë për ju. 444 00:21:41,820 --> 00:21:44,910 Shumë njerëz harrojnë se, ose të ata harrojnë të përdorin atë. 445 00:21:44,910 --> 00:21:54,520 Por në qoftë se unë të kërkoni PHP Crypt, dhomë të nëndheshme të tashmë kthen një varg hash për mua. 446 00:21:54,520 --> 00:21:58,790 Dhe ai në fakt kripëra atë shumë herë dhe hashes atë shumë herë. 447 00:21:58,790 --> 00:22:00,070 >> Pra, ne nuk kemi për të bërë këtë. 448 00:22:00,070 --> 00:22:04,790 Pra, të gjithë ju duhet të bëni është të dërgoni atë në dhomë e nëndheshme. 449 00:22:04,790 --> 00:22:08,170 Dhe kjo do të krijojë një hash të madh pa ju ka për t'u shqetësuar për kripë 450 00:22:08,170 --> 00:22:08,990 apo ndonjë gjë. 451 00:22:08,990 --> 00:22:12,000 Sepse në qoftë se ju do të kripë atë, ju keni të mbani mend çfarë keni përdorur kripë 452 00:22:12,000 --> 00:22:13,800 sepse në qoftë se jo, ju nuk mund të merrni tuaj regjistrohu mbrapa pa 453 00:22:13,800 --> 00:22:15,760 kripë që keni përdorur. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> Dhe gjithashtu të identifikueshme personale informacionit. 457 00:22:23,150 --> 00:22:26,730 Pra siguria sociale, kartë krediti - kjo është shumë e qartë. 458 00:22:26,730 --> 00:22:31,880 Por ndonjëherë njerëzit harrojnë mënyrën se vepra është, se sa shumë informata ju 459 00:22:31,880 --> 00:22:35,690 në të vërtetë duhet të gjeni disa një person? 460 00:22:35,690 --> 00:22:37,740 Dikush bëri një studim në lidhje me kjo një mënyrë prapa. 461 00:22:37,740 --> 00:22:40,870 Ajo ishte e ngjashme, në qoftë se ju keni një emër të plotë, ju nuk mund të gjeni 462 00:22:40,870 --> 00:22:41,610 dikush që lehtë. 463 00:22:41,610 --> 00:22:43,900 Por, çfarë nëse ju keni një emër të plotë dhe data e tyre e lindjes? 464 00:22:43,900 --> 00:22:47,770 A është kjo e mjaftueshme për të identifikuar dikush në mënyrë specifike? 465 00:22:47,770 --> 00:22:52,760 >> Po në qoftë se ju keni emrin e tyre dhe adresë rruge që ata të jetojnë në? 466 00:22:52,760 --> 00:22:55,110 A është kjo e mjaftueshme për të gjetur dikë? 467 00:22:55,110 --> 00:23:02,490 Dhe se kur ata pyesin, çfarë është të dhënat personale të identifikueshme, dhe 468 00:23:02,490 --> 00:23:05,360 çfarë duhet të shqetësohen për jo duke i dhënë larg? 469 00:23:05,360 --> 00:23:08,770 Nëse ju dhuroj identifikueshme personale informacion që dikush ju jep, 470 00:23:08,770 --> 00:23:11,420 ju potencialisht mund të merrni paditur. 471 00:23:11,420 --> 00:23:12,610 Dhe ne definitivisht nuk dua që. 472 00:23:12,610 --> 00:23:14,955 >> Pra, kur ju jeni vënë faqen tuaj te internetit jashtë, dhe ju keni një të vërtetë cool 473 00:23:14,955 --> 00:23:17,230 dizajn, shpresojmë se ju bërë një projekt i tmerrshëm përfundimtar. 474 00:23:17,230 --> 00:23:18,370 Çdo lloj që ju dëshironi të vënë atë atje. 475 00:23:18,370 --> 00:23:21,420 Ju dëshironi të bëni të sigurtë që çdo gjë ju jeni duke marrë nga përdoruesit, nëse është e 476 00:23:21,420 --> 00:23:25,310 të dhënat personale të identifikueshme, ju doni të bëni të sigurtë që ju jeni duke qenë me të vërtetë 477 00:23:25,310 --> 00:23:26,560 kujdesshëm me të. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Injeksion Shell. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Injeksion Shell lejon njeri i bezdisshëm për të hyj në linjë aktuale tuaj të komandës 482 00:23:37,590 --> 00:23:39,660 në serverin tuaj. 483 00:23:39,660 --> 00:23:44,060 Dhe kështu që ai është në gjendje për të kandiduar kodin që ju nuk mund të kontrollit. 484 00:23:44,060 --> 00:23:49,560 Le të marrin një shembull të kësaj string bukur këtu. 485 00:23:49,560 --> 00:23:55,570 Nëse do të shkoni në faqen e internetit përsëri, unë jam i do të shkojë në injeksion kodin. 486 00:23:55,570 --> 00:23:58,910 Pra, ajo që kjo nuk është - 487 00:23:58,910 --> 00:24:00,420 kjo është edhe ajo që ne ishim duke kërkuar në para. 488 00:24:00,420 --> 00:24:11,200 Ne jemi duke i lënë përdoruesit të vënë në çfarëdo ai dëshiron, dhe kjo do të shtypura nga 489 00:24:11,200 --> 00:24:12,220 çdo gjë që ju dëshironi. 490 00:24:12,220 --> 00:24:13,890 >> Kështu që unë jam duke shkuar për të vënë një telefonatë. 491 00:24:13,890 --> 00:24:15,540 Çfarë kjo nuk është - 492 00:24:15,540 --> 00:24:16,940 ai do të fillojë nga concatenating. 493 00:24:16,940 --> 00:24:19,520 Pra, kjo do të më lejoni të kandidojë çdo gjë urdhëroj drejtimin e personit 494 00:24:19,520 --> 00:24:21,500 para dhe komandën e mia. 495 00:24:21,500 --> 00:24:23,980 Dhe unë jam drejtimin e një komandë të sistemit. 496 00:24:23,980 --> 00:24:27,310 Dhe këto vargjet e fundit janë - mos harroni ajo që Kam biseduar me ju djema në lidhje, 497 00:24:27,310 --> 00:24:31,725 kurse ju keni për të shifroj atë në një metodë URL. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Nëse unë të drejtuar këtë tani - 500 00:24:36,992 --> 00:24:39,150 Unë do të ju tregojnë se këtu - 501 00:24:39,150 --> 00:24:41,100 ju do të shihni se unë përfundoi up drejtimin e një komandë. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Kjo është në fakt server aktuale që website im po kandidon në. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Pra, ne nuk duam që, sepse unë mund të kandidojë - 506 00:24:58,510 --> 00:25:00,320 ky server nuk është e imja. 507 00:25:00,320 --> 00:25:04,030 Kështu që unë nuk dua të bela deri tij motra, server Marcus-së. 508 00:25:04,030 --> 00:25:07,470 Por ju mund të kandidojë më shumë komandat që janë të rrezikshme. 509 00:25:07,470 --> 00:25:11,885 Dhe potencialisht, ju mund të fshini fotografi, hiqni directories. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Unë mund të hiqni një directory të caktuar nëse Unë të kërkuar për të, por unë nuk dua 512 00:25:17,970 --> 00:25:19,530 për të bërë këtë për Marcus. 513 00:25:19,530 --> 00:25:20,420 Ai është një djalë i mirë. 514 00:25:20,420 --> 00:25:21,470 Ai më lejoni të marrë hua serverin e tij. 515 00:25:21,470 --> 00:25:24,620 Kështu që unë jam duke shkuar për të le të jashtë në një të mirë. 516 00:25:24,620 --> 00:25:32,280 >> Pra, ajo që ne nuk duam të përdorni - ne nuk bëjmë dëshironi të përdorni eval apo sistem. 517 00:25:32,280 --> 00:25:34,755 Eval ose sistem na lejon të bërë këto thirrje sistemit. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Mjetet eval vlerësuar. 520 00:25:38,410 --> 00:25:40,790 Sistemi do të thotë ajo që unë u zhvillua. 521 00:25:40,790 --> 00:25:42,490 Është e drejtuar diçka në sistem. 522 00:25:42,490 --> 00:25:46,730 Por ne mund të dëbuar këto gjëra në PHP në mënyrë që ne nuk i përdorin ato. 523 00:25:46,730 --> 00:25:47,400 Dhe fotografi upload. 524 00:25:47,400 --> 00:25:49,180 Unë kam qenë duke shkuar për të bërë një awesome Gjëja me e file upload. 525 00:25:49,180 --> 00:25:52,740 Por si ju thashë djema, dosjen time upload gjë nuk është duke punuar. 526 00:25:52,740 --> 00:25:54,590 Nëse unë do të ngarkoj një dokument tani - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 nëse unë do të ngarkoj një dokument, dhe kjo është një foto - 529 00:26:00,830 --> 00:26:03,180 ju keni një gjë të ngarkoni kjo është një foto. 530 00:26:03,180 --> 00:26:03,660 Kjo është në rregull. 531 00:26:03,660 --> 00:26:04,280 Asgjë nuk ndodh. 532 00:26:04,280 --> 00:26:10,840 >> Por në qoftë se ju keni një file upload, për shembull, dhe përdoruesit në të vërtetë Ngarkimet më të 533 00:26:10,840 --> 00:26:19,220 një skedar PHP apo nje exe file apo diçka si kjo, atëherë ju mund të potencialisht të 534 00:26:19,220 --> 00:26:19,740 kanë një problem. 535 00:26:19,740 --> 00:26:21,390 Kjo ishte duke punuar para. 536 00:26:21,390 --> 00:26:25,202 Për fat të keq për mua, kjo është nuk punon më. 537 00:26:25,202 --> 00:26:30,230 Në qoftë se unë, për shembull, ngarkoni këtë fotografi, unë jam i mos marrë leje për të ngarkoni 538 00:26:30,230 --> 00:26:33,400 skedar shkak te serverit mos qenë minave. 539 00:26:33,400 --> 00:26:38,670 Pra djalë me të vërtetë i zgjuar. 540 00:26:38,670 --> 00:26:39,610 >> Pra, ne nuk duam të - 541 00:26:39,610 --> 00:26:40,130 Unë jam duke shkuar për të treguar ju djema - 542 00:26:40,130 --> 00:26:41,840 OK, këto janë disa mjete të vërtetë të ftohtë. 543 00:26:41,840 --> 00:26:45,100 Pra, këto - 544 00:26:45,100 --> 00:26:47,715 shkojnë në - në qoftë se ju djema keni Firefox - shpresojmë se ju bëni. 545 00:26:47,715 --> 00:26:54,260 Ka dy Shtesa add-quajtur SQL Inject Mua dhe Cross-Site Script Me. 546 00:26:54,260 --> 00:26:56,870 Ata e hapur deri sa të vogël krah bare në anën. 547 00:26:56,870 --> 00:27:01,480 Dhe në qoftë se unë do të shkoj në CS60 për shembull - 548 00:27:01,480 --> 00:27:04,210 kështu që ajo që bën është e duket për të gjitha format që - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 shpresojmë se, unë nuk do të marrë në telashe për këtë. 551 00:27:08,760 --> 00:27:09,190 >> Por OK. 552 00:27:09,190 --> 00:27:12,600 Ja se sistemi i pin. 553 00:27:12,600 --> 00:27:18,946 Pra, kur Unë të fillojmë të shikojmë për vrima në sistemi, gjëja e parë që bëni është të 554 00:27:18,946 --> 00:27:21,820 hapur kjo pak bukur mjet në anën. 555 00:27:21,820 --> 00:27:24,160 Dhe unë jam duke shkuar për të provuar forma të me sulme auto. 556 00:27:24,160 --> 00:27:28,510 Dhe kështu që ajo që kjo nuk është ajo do të ngadalë hapur një bandë e shfletuesit. 557 00:27:28,510 --> 00:27:29,930 Këtu ka një bandë e shfletuesit. 558 00:27:29,930 --> 00:27:33,320 Dhe kjo është duke u përpjekur çdo kombinim të vetme të ndër-site scripting 559 00:27:33,320 --> 00:27:37,380 se ka ndoshta është, në qoftë se ju shihni në anën. 560 00:27:37,380 --> 00:27:42,080 >> Dhe kjo do të më japë një rezultat lloj çfarë përgjigje është. 561 00:27:42,080 --> 00:27:42,860 Të gjitha të kalojë. 562 00:27:42,860 --> 00:27:43,910 Natyrisht, ata të gjithë të kalojë. 563 00:27:43,910 --> 00:27:46,190 Unë do të thotë, ata janë me të vërtetë i zgjuar njerëz deri atje. 564 00:27:46,190 --> 00:27:48,010 Por në qoftë se unë do të kandidojë - 565 00:27:48,010 --> 00:27:52,050 Unë kam pasur herë më parë, kur kam drejtuar këtë në projektet përfundimtare të nxënësve. 566 00:27:52,050 --> 00:27:56,080 Unë thjesht të drejtuar SQL Inject Me me të gjitha sulmet e ndryshme. 567 00:27:56,080 --> 00:28:00,080 Dhe kjo është duke u përpjekur për të injektuar SQL ky server pin. 568 00:28:00,080 --> 00:28:03,590 Pra, nëse ne të lëvizni poshtë, për shembull, ai thotë se - 569 00:28:03,590 --> 00:28:04,960 kjo është e mirë në qoftë se ajo kthehet. 570 00:28:04,960 --> 00:28:08,250 >> Pra, ajo testuar disa vlera të caktuara. 571 00:28:08,250 --> 00:28:11,170 Dhe server kthye një kodin që ishte negative. 572 00:28:11,170 --> 00:28:11,780 Hiq përkohësisht. 573 00:28:11,780 --> 00:28:13,030 Kjo është e mirë. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Ajo mundohet të gjitha këto teste. 576 00:28:20,750 --> 00:28:21,790 Kështu që ju mund të thjesht të drejtuar - 577 00:28:21,790 --> 00:28:27,860 Unë kam dëshirë mund të gjeni një të vërtetë të internetit të shpejtë që do të më lejoni - 578 00:28:27,860 --> 00:28:29,110 ndoshta dyqan CS50. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Wow, kjo do të të marrë rrugë shumë të gjatë. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Unë do të le prova e parë mos përfundojë drejtë. 583 00:28:55,130 --> 00:28:57,330 Kështu që është ankuar. 584 00:28:57,330 --> 00:28:58,470 Pra, këto janë tri gjëra. 585 00:28:58,470 --> 00:29:00,430 Këto mjete janë të lirë. 586 00:29:00,430 --> 00:29:03,960 Ju mund ta shkarkoni dhe të drejtuar ata në faqen tuaj te internetit, dhe ajo do të tregojë nëse 587 00:29:03,960 --> 00:29:06,650 ju keni ndër-site scripting, në qoftë se ju keni SQL, në qoftë se ju keni 588 00:29:06,650 --> 00:29:07,900 diçka e si. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Unë jam lloj messing up. 591 00:29:14,500 --> 00:29:15,550 >> Çfarë është e rëndësishme - 592 00:29:15,550 --> 00:29:17,900 OK, kështu që kurrë nuk besojnë të përdoruesit. 593 00:29:17,900 --> 00:29:21,920 Sido që të inputeve përdorues për ju, të bëjë që ju Sanitize atë, ju të pastër atë, 594 00:29:21,920 --> 00:29:25,300 ju kontrolloni për gjërat e duhura, se është duke ju dhënë atë që ju 595 00:29:25,300 --> 00:29:28,240 duan që ai të ju jap. 596 00:29:28,240 --> 00:29:32,460 Gjithmonë të përditësohet në atë që kornizat se ju jeni në të vërtetë duke përdorur. 597 00:29:32,460 --> 00:29:34,630 Në qoftë se ju përdorni diçka si metodologji ndihmëse - 598 00:29:34,630 --> 00:29:36,340 Unë e di ju djema do të përdorim bootstrap sepse ai do të shkojë 599 00:29:36,340 --> 00:29:38,140 mbi këtë së shpejti në klasë - 600 00:29:38,140 --> 00:29:43,120 dhe Wordpress apo diçka të tillë, normalisht kjo do të mund të hacked. 601 00:29:43,120 --> 00:29:44,770 >> Dhe pastaj ju nuk e di edhe. 602 00:29:44,770 --> 00:29:45,800 Ju jeni vetëm duke faqen tuaj te internetit. 603 00:29:45,800 --> 00:29:47,360 Dhe kjo është krejtësisht e sigurt. 604 00:29:47,360 --> 00:29:51,730 Dhe ju shkoni poshtë. 605 00:29:51,730 --> 00:29:54,000 Kështu që unë jam me të vërtetë në fillim të peshkimit. 606 00:29:54,000 --> 00:29:55,770 Por unë dua të falënderoj Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Unë jam duke shkuar për të treguar ju djema diçka quajtur Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Nëse ju djema janë me të vërtetë të interesuar në atë të sigurisë me të vërtetë, ka një 609 00:30:05,000 --> 00:30:07,300 Faqja e internetit të quajtur Pentest Labs nëse ju djema shkoni në atë që tani. 610 00:30:07,300 --> 00:30:10,730 Oh, mirë, kjo nuk është ajo. 611 00:30:10,730 --> 00:30:12,030 Unë jam vetëm duke shkuar për të drejtuar atë si kjo. 612 00:30:12,030 --> 00:30:14,400 Google tregon mua përgjigjen. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 Dhe ajo mëson të përdorni ju - kështu që thotë, të mësojnë depërtimit të internetit 615 00:30:19,030 --> 00:30:21,060 testimin rrugën e drejtë. 616 00:30:21,060 --> 00:30:23,650 Ajo ju mëson - 617 00:30:23,650 --> 00:30:25,150 shpresojmë se, ju jeni një person etik. 618 00:30:25,150 --> 00:30:29,200 Por kjo ju mëson se si ju mund të shikoni në se si ju mund të merrni brenda faqet e internetit. 619 00:30:29,200 --> 00:30:31,130 Dhe në qoftë se ju mësoni se si ju mund të merrni brenda faqet e internetit, ju mund të mësoni se si të 620 00:30:31,130 --> 00:30:34,960 të mbrojtur veten nga marrja e faqet e internetit brenda. 621 00:30:34,960 --> 00:30:39,100 Më lejoni të zoom në për shkak se ndoshta ju djema nuk janë duke kërkuar në këtë të drejtë. 622 00:30:39,100 --> 00:30:46,350 >> Nga SQL injeksion të derdh, kështu lloj si unë mund të merrni nga SQL 623 00:30:46,350 --> 00:30:48,530 injeksion të predhë. 624 00:30:48,530 --> 00:30:53,890 Dhe keni shkarkuar këtë makinë virtuale. 625 00:30:53,890 --> 00:30:55,690 Dhe makinë virtuale tashmë vjen me faqen e internetit që ju jeni 626 00:30:55,690 --> 00:30:56,780 do të përpiqen atë në. 627 00:30:56,780 --> 00:30:58,030 Ju shkarkoni këtë PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 Dhe kjo do t'ju tregojë se çfarë rresht pas rreshti ju duhet të bëni, çfarë ju kontrolloni. 630 00:31:08,370 --> 00:31:14,560 Kjo është ajo që një sulmues të vërtetë ka për të marrë brenda një faqe interneti. 631 00:31:14,560 --> 00:31:15,750 >> Dhe disa nga këto gjëra është e komplikuar. 632 00:31:15,750 --> 00:31:17,520 Unë kam dëshirë mund të shkoj për më shumë gjëra me ju djema. 633 00:31:17,520 --> 00:31:21,090 Por kam frikë se ju djema nuk kanë me të vërtetë - 634 00:31:21,090 --> 00:31:23,090 kjo është ajo që unë kaloi me ju djema, teste web 635 00:31:23,090 --> 00:31:26,830 për testimin e depërtimit. 636 00:31:26,830 --> 00:31:33,540 A nuk e vërtetë e di se çfarë SQL është dhe çfarë - 637 00:31:33,540 --> 00:31:35,960 Seminari Carl Jackson është awesome si. 638 00:31:35,960 --> 00:31:37,360 Ju djema nuk e di lloj të asaj që kjo është. 639 00:31:37,360 --> 00:31:39,450 Por në qoftë se ju shkoni në këtë faqe interneti, dhe ju shkarko këto mësime dhe këto 640 00:31:39,450 --> 00:31:43,290 PDF, ju mund të hidhni një sy në lloj ajo që zona e sigurisë të vërtetë ka 641 00:31:43,290 --> 00:31:46,940 në testimin e depërtimit, të shohim se si ju mund të të merrni faqet e internetit brenda dhe për të mbrojtur 642 00:31:46,940 --> 00:31:48,020 veten nga ajo. 643 00:31:48,020 --> 00:31:56,360 >> Pra, në qoftë se unë bëj një pasqyrë të super të shpejtë, ajo do të parandaluar ndër-site scripting. 644 00:31:56,360 --> 00:32:00,160 Ju dëshironi të përdorni htmlspecialchars çdo Herën e inputeve përdorues diçka. 645 00:32:00,160 --> 00:32:01,580 Parandalimin e SQL injeksion. 646 00:32:01,580 --> 00:32:04,510 Nëse ju bëni këtë, ju jeni tashmë më mirë se Harvard ishte 647 00:32:04,510 --> 00:32:06,530 kur ato u shkelen. 648 00:32:06,530 --> 00:32:10,510 Dhe sigurohuni që fjalëkalimet tuaja nuk janë në tekst të thjeshtë. 649 00:32:10,510 --> 00:32:16,220 Sigurohuni që ju bëni jo vetëm një mënyrë hash ata por që ju të përdorni dhomë të nëndheshme, PHP 650 00:32:16,220 --> 00:32:18,670 funksion që unë ju tregoi djema. 651 00:32:18,670 --> 00:32:20,060 Në këtë mënyrë, ju duhet të jetë mirë. 652 00:32:20,060 --> 00:32:25,830 >> Gjithashtu, në qoftë se miqtë tuaj ju lejojnë, të drejtuar SQL Inject Me në faqet e tyre. 653 00:32:25,830 --> 00:32:28,140 Run scripting ndër-faqen në faqet e tyre. 654 00:32:28,140 --> 00:32:33,720 Dhe ju do të shihni shumë nga këto faqet e internetit kanë një ton të dobësitë. 655 00:32:33,720 --> 00:32:40,400 Është e pabesueshme se si shumë njerëz harrojnë për të Sanitize bazat e të dhënave ose të bëjë 656 00:32:40,400 --> 00:32:46,340 të sigurt se çfarë inputting e personit nuk është kodi script. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Unë lloj i përfundoi me të vërtetë në fillim. 659 00:32:49,182 --> 00:32:56,510 Por në qoftë se dikush ka ndonjë pyetje në lidhje çdo gjë, ju mund të xhiruar me një pyetje. 660 00:32:56,510 --> 00:32:56,630 Po. 661 00:32:56,630 --> 00:32:56,970 Shko, shko. 662 00:32:56,970 --> 00:32:59,846 >> Audienca: Unë vetëm dua të pyes, mund ta shpjegoni se si skedar 663 00:32:59,846 --> 00:33:03,160 ngarkoni pikërisht vepra. 664 00:33:03,160 --> 00:33:03,480 >> Luciano Arango: Po. 665 00:33:03,480 --> 00:33:06,350 Pra më lejoni të ju tregojnë file ngarkoni vërtetë të shpejtë. 666 00:33:06,350 --> 00:33:11,300 Pra dosja upload - 667 00:33:11,300 --> 00:33:14,500 problemi mendje file upload tani është se - 668 00:33:14,500 --> 00:33:18,541 Unë jam duke shkuar për të hapur kodin kështu që ju djema shikoni kodin prapa skenave. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 Dhe kjo është të ngarkoni. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Këtu ka një kod për file uploader. 673 00:33:31,560 --> 00:33:33,980 >> Ne jemi duke u përpjekur për të shkuar në këtë Lista mbi këtu. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 Dhe ne jemi duke u përpjekur për të, pasi ne input fotografi, fotografi isset - kështu që kur ka një 676 00:33:44,880 --> 00:33:50,900 paraqesë në DOSJET, atë imazh, atëherë ne përpiqemi për të lëvizur këtu. 677 00:33:50,900 --> 00:33:51,910 Ne kap skedarin mbi këtu. 678 00:33:51,910 --> 00:33:58,350 Metoda është POST, lloji, figurës, vargut. 679 00:33:58,350 --> 00:33:59,630 Dhe ne jemi të dërguar këtë fotografi. 680 00:33:59,630 --> 00:34:03,910 Dhe pastaj një herë kemi marrë atë, kështu që sapo fotografi ka një imazh, ne jemi duke u përpjekur për të dërguar atë 681 00:34:03,910 --> 00:34:05,060 për këtë directory. 682 00:34:05,060 --> 00:34:09,814 >> Problemi është se në faqen e internetit nuk është lënë mua të shkojnë në këtë directory, 683 00:34:09,814 --> 00:34:12,239 sepse ajo nuk dëshiron që unë të kthehem. 684 00:34:12,239 --> 00:34:13,489 Ajo nuk dëshiron që unë të shkoj - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Unë duhet të shkoj - kështu që këtu është të ngarkoni. 687 00:34:17,070 --> 00:34:17,639 Ja images. 688 00:34:17,639 --> 00:34:21,780 Unë kam për të shkuar gjatë gjithë rrugës prapa në fillimi dhe e vënë atë në atje dhe më pas 689 00:34:21,780 --> 00:34:23,820 shkoni dhe e vënë atë në directory. 690 00:34:23,820 --> 00:34:30,000 Pra, nëse unë kam qenë drejtimin e një dritare terminali, dhe kam kërkuar për të lëvizur një fotografi - 691 00:34:30,000 --> 00:34:30,409 [Padëgjueshme] 692 00:34:30,409 --> 00:34:32,159 mund ta shohin atë. 693 00:34:32,159 --> 00:34:37,940 Në qoftë se kam kërkuar për të lëvizur një skedar, unë kam për të vënë emrin e file dhe pastaj 694 00:34:37,940 --> 00:34:40,860 shteg i plotë Dua të dërgoni në. 695 00:34:40,860 --> 00:34:45,110 >> Dhe pastaj server nuk është lënë mua të kthehem. 696 00:34:45,110 --> 00:34:46,929 Dhe kështu që nuk është lënë mua të shkoj në këtë dosje. 697 00:34:46,929 --> 00:34:47,670 Por normalisht - 698 00:34:47,670 --> 00:34:49,360 kështu që nuk ka një kod për uploadoni një file. 699 00:34:49,360 --> 00:34:52,260 Pra, normalisht se çfarë do të ndodhë është se Personi nuk është kontrolluar nëse dosja ime 700 00:34:52,260 --> 00:34:57,920 mbaron me. jpeg, kështu që unë do të doni të kontrolloni. 701 00:34:57,920 --> 00:35:00,054 Më lejoni të hap një shembull shumë të vërtetë të shpejtë. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Ky person e drejtë - 705 00:35:09,230 --> 00:35:11,980 kështu shembull dy është e kontrolluar nëse preg_match - 706 00:35:11,980 --> 00:35:14,180 këtu ajo është e gjatë këtu - 707 00:35:14,180 --> 00:35:19,660 për të siguruar që përfundon me PHP, e cila është e mirë. 708 00:35:19,660 --> 00:35:20,580 Kjo është e mirë. 709 00:35:20,580 --> 00:35:22,820 Por ka një të vërtetë e madhe problem me këtë. 710 00:35:22,820 --> 00:35:24,600 Kjo është e mirë. 711 00:35:24,600 --> 00:35:44,190 Por në qoftë se unë do të vënë një skedar të quajtur myfavoritepicture.php.jpeg, unë mund 712 00:35:44,190 --> 00:35:50,060 ende potencialisht të hequr qafe të jpeg dhe të drejtuar it.k Kjo PHP-së rrezikshme. 713 00:35:50,060 --> 00:35:53,850 Ju nuk doni personi të jetë në gjendje për të kandiduar kodin në faqen tuaj te internetit. 714 00:35:53,850 --> 00:35:55,750 >> Por pastaj. Jpeg lejon atë të kalojë. 715 00:35:55,750 --> 00:36:00,720 Ideja është ajo që ju me të vërtetë dëshironi të bëni nuk është marrë fotografi, A. Por, OK, çfarë 716 00:36:00,720 --> 00:36:07,500 ju me të vërtetë dëshironi të bëni është të siguruar që keni lexuar mbi të gjithë botën. 717 00:36:07,500 --> 00:36:08,720 Dhe nuk ka asgjë. Php në të. 718 00:36:08,720 --> 00:36:10,500 Nuk ka. Php në Emri tërë fotografi. 719 00:36:10,500 --> 00:36:12,780 >> Audienca: Por ju mund vënë. jpeg në fund. 720 00:36:12,780 --> 00:36:15,830 Serverat ende të drejtuar kodin. 721 00:36:15,830 --> 00:36:16,870 >> Luciano Arango: Jo, nuk do të drejtuar në fillim. 722 00:36:16,870 --> 00:36:22,310 Ju keni për të shkuar mbrapa dhe të përpiqemi për të parë nëse ju mund të - 723 00:36:22,310 --> 00:36:24,210 >> Audienca: Pra, ne duhet të - 724 00:36:24,210 --> 00:36:26,020 OK, vetëm një tjetër grup që përfshin - 725 00:36:26,020 --> 00:36:26,936 >> Luciano Arango: Po. 726 00:36:26,936 --> 00:36:29,230 >> Audienca: OK. 727 00:36:29,230 --> 00:36:31,486 >> Luciano Arango: Po. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Çdo pyetje të tjera? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Unë jam duke shkuar për të lënë këtë ide dhe lloj i të përpiqen për të parë nëse ju djema mund të - 732 00:36:37,350 --> 00:36:40,490 ato të tjera janë pak më shumë komplikuar për shkak se ato kërkojnë shumë 733 00:36:40,490 --> 00:36:44,050 më shumë njohuri të SQL se vetëm duke filluar njohja e web SQL është dhe 734 00:36:44,050 --> 00:36:47,010 çfarë JavaScript është. 735 00:36:47,010 --> 00:36:49,730 Por unë jam do të përpiqen për të mbajtur këtë ide, dhe shpresojmë se ju djema do të mësojnë 736 00:36:49,730 --> 00:36:53,230 për këtë dhe të përpiqet të marrë një vështrim në çfarë mund të bëni dhe sa shembuj 737 00:36:53,230 --> 00:36:54,420 ju mund të merrni me. 738 00:36:54,420 --> 00:36:56,020 >> Çdokush ka ndonjë tjetër pyetje në lidhje me të? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Shkoni përpara. 741 00:37:00,350 --> 00:37:01,170 Po, xhiruar, xhiruar. 742 00:37:01,170 --> 00:37:01,580 Po, të shkojnë përpara. 743 00:37:01,580 --> 00:37:01,850 Shkoni përpara. 744 00:37:01,850 --> 00:37:02,310 >> Audienca: OK. 745 00:37:02,310 --> 00:37:08,870 Pra, kam dëgjuar se si Magic Quotes nuk janë të sigurt të mjaftueshme. 746 00:37:08,870 --> 00:37:09,280 >> Luciano Arango: Çfarë - 747 00:37:09,280 --> 00:37:10,110 Kuotat Magjike? 748 00:37:10,110 --> 00:37:10,595 >> Audienca: Po. 749 00:37:10,595 --> 00:37:15,445 Pra, ajo shton - kështu që sa herë që ju të dhëna diçka, ajo gjithmonë shton kuotat. 750 00:37:15,445 --> 00:37:15,930 >> Luciano Arango: Po. 751 00:37:15,930 --> 00:37:16,000 Po. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> Audienca: Dhe atëherë unë pse se ka punuar, por pastaj unë kontrolluar atë. 754 00:37:19,113 --> 00:37:21,648 Dhe ai tha se kjo nuk është e mirë. 755 00:37:21,648 --> 00:37:23,050 Por unë nuk jam i sigurt pse. 756 00:37:23,050 --> 00:37:23,360 >> Luciano Arango: Po. 757 00:37:23,360 --> 00:37:26,240 >> Audienca: Mos përdorni Magic Quotes, për shkak se ajo nuk është e sigurt. 758 00:37:26,240 --> 00:37:26,360 >> Luciano Arango: OK. 759 00:37:26,360 --> 00:37:31,735 Pra Magic Quotes është kur ju futur SQL dhe ajo tashmë shton kuotë për ju. 760 00:37:31,735 --> 00:37:33,520 >> Audienca: Ajo gjithmonë shton kuotat rreth çdo gjë që ju vënë in 761 00:37:33,520 --> 00:37:34,210 >> Luciano Arango: Po. 762 00:37:34,210 --> 00:37:37,190 Pra, problemi me këtë është se - 763 00:37:37,190 --> 00:37:38,445 Unë do të marrë një sy në - 764 00:37:38,445 --> 00:37:41,390 >> Audienca: Si e bën atë të marrë deklarata SQL? 765 00:37:41,390 --> 00:37:44,690 Ose unë mendoj se mund të jetë si të japin kuotën e zgjedhur. 766 00:37:44,690 --> 00:37:49,030 >> Luciano Arango: Po, ju duhet Kuotat e mirë për të SQL. 767 00:37:49,030 --> 00:37:52,900 >> Audienca: Jo, por server e bën këtë për ju. 768 00:37:52,900 --> 00:37:54,460 >> Luciano Arango: Këto citate të vogla të drejtë këtu, këto citate pak? 769 00:37:54,460 --> 00:37:55,670 >> Audienca: Po. 770 00:37:55,670 --> 00:37:56,450 >> Luciano Arango: Po. 771 00:37:56,450 --> 00:37:59,860 Problemi është se ju mund të comment out fundit - 772 00:37:59,860 --> 00:38:05,770 OK, kështu që ajo që unë mund të bëj është që unë mund të komentoj jashtë - kështu që le të marrin një vështrim në - le të më 773 00:38:05,770 --> 00:38:07,920 hapur një tekst edit file. 774 00:38:07,920 --> 00:38:09,610 Më lejoni vetëm të redaktoni këtë drejtë këtu direkt. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Mund të ju djema të shihni se në mënyrë të qartë? 778 00:38:23,710 --> 00:38:29,730 Ajo që unë mund të bëj është që unë mund të komentoj nga ajo e fundit. 779 00:38:29,730 --> 00:38:32,190 Kjo do të komentojë nga një të fundit. 780 00:38:32,190 --> 00:38:36,760 Dhe atëherë unë do të vënë një të tillë këtu, vënë të gjitha gjëra me qëllim të keq këtu. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Pra, përdoruesit e vërtetë inputting, e drejtë? 783 00:38:42,630 --> 00:38:45,230 Shfrytëzuesi nuk është futjen gjërat, apo jo? 784 00:38:45,230 --> 00:38:47,430 Kjo është ajo që unë jam duke shkuar për të dhëna si personi duke u përpjekur për të marrë brenda. 785 00:38:47,430 --> 00:38:49,430 Unë jam duke shkuar për të vënë në - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 kjo është një shenjë citat. 788 00:39:00,180 --> 00:39:01,760 Është vetëm squiggly gabimisht. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 Dhe pastaj çfarë kodi është duke shkuar për të bërë - 791 00:39:19,400 --> 00:39:20,190 vjen keq, unë jam duke shkuar për të marrë këtë. 792 00:39:20,190 --> 00:39:22,170 Çfarë kodi do të bëni është të ajo do të shtojë parë 793 00:39:22,170 --> 00:39:24,030 citat shënon këtu. 794 00:39:24,030 --> 00:39:26,040 Dhe ajo do të shtojë fundit mark citat si. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> Dhe ajo gjithashtu do të shtoni fundit, të shënojë citat fundit. 797 00:39:33,270 --> 00:39:37,380 Por unë jam duke komentuar këto citat shënon se, në mënyrë që ata nuk do të kandidojë. 798 00:39:37,380 --> 00:39:41,440 Dhe unë jam duke përfunduar këtë citat shënuar mbi këtu. 799 00:39:41,440 --> 00:39:42,290 A e kuptoni? 800 00:39:42,290 --> 00:39:43,750 A jeni humbur? 801 00:39:43,750 --> 00:39:45,880 Unë mund të komentoj citimin e fundit shenjë, dhe të kujdeset për 802 00:39:45,880 --> 00:39:46,680 mark parë citat. 803 00:39:46,680 --> 00:39:47,350 >> Audienca: Dhe vetëm të përfundojë e para. 804 00:39:47,350 --> 00:39:47,480 >> Luciano Arango: Po. 805 00:39:47,480 --> 00:39:48,400 Dhe vetëm të përfundojë një të parë. 806 00:39:48,400 --> 00:39:48,790 Po, kjo është e drejtë. 807 00:39:48,790 --> 00:39:50,800 Kjo është ajo që unë mund të bëj. 808 00:39:50,800 --> 00:39:51,890 Po. 809 00:39:51,890 --> 00:39:52,980 Çdo pyetje të tjera si kjo? 810 00:39:52,980 --> 00:39:54,230 Kjo është një pyetje e madhe. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Jo, po, ndoshta. 813 00:39:59,790 --> 00:40:06,150 Shpresojmë, ju djema do lloj të bëjë më shumë kuptim kur ju studioni SQL dhe 814 00:40:06,150 --> 00:40:06,650 gjëra të tilla si se. 815 00:40:06,650 --> 00:40:07,980 Por sigurohuni që ju - 816 00:40:07,980 --> 00:40:10,340 mbajnë këto mjete në orë. 817 00:40:10,340 --> 00:40:12,760 Na vjen keq, këto mjete mbi këtu. 818 00:40:12,760 --> 00:40:14,200 Këto mjete janë të mëdha. 819 00:40:14,200 --> 00:40:17,190 Nëse dikush ka ndonjë pyetje, ju gjithashtu mund të email mua. 820 00:40:17,190 --> 00:40:19,020 Kjo është my email normale. 821 00:40:19,020 --> 00:40:25,015 Dhe kjo është e-mail im punës, të cilat është kur unë punoj në dete. 822 00:40:25,015 --> 00:40:26,040 >> OK, faleminderit. 823 00:40:26,040 --> 00:40:26,740 Faleminderit, djema. 824 00:40:26,740 --> 00:40:27,860 Ju jeni të mirë për të shkuar. 825 00:40:27,860 --> 00:40:28,830 Ju nuk keni për të qëndruar këtu. 826 00:40:28,830 --> 00:40:29,570 A nuk e duartrokas. 827 00:40:29,570 --> 00:40:30,170 Kjo është e çuditshme. 828 00:40:30,170 --> 00:40:31,420 OK, faleminderit, djema. 829 00:40:31,420 --> 00:40:32,320