LUCIANO అరాంగో: OK, అబ్బాయిలు. నా పేరు లూసియానో ​​అరాంగో ఉంది. నేను ఆడమ్స్ హౌస్ లో రెండవ ఉన్నాను. మరియు మేము గురించి మాట్లాడటం కావడం చేస్తున్నారు వెబ్ భద్రతా క్రియాశీల రక్షణ. నేను ఇన్ఫర్మేషన్ కార్యాలయం కోసం పని సముద్రాలలో భద్రత. మరియు వేసవిలో, నేను బందీగా ఒక సమాచారాన్ని ఇది SeguraTec, సేవలందించిన భద్రతా సంస్థ కొలంబియా బ్యాంక్ కోసం. నేను నేర్చుకున్న పేర్కొంది ఎక్కువగా ఉంది నేను ఇప్పటివరకు నేర్చుకున్నాడు చేసిన ఏ. 

కాబట్టి మేము విషయం కొన్ని నేడు వెళ్ళి, మేము కలిగి నిజంగా తరగతి లో మాట్లాడారు. కానీ మేము వెంటనే రెడీ. ఇది SQL, JavaScript వంటి చేస్తాడు. మరియు మేము నిజంగా ఇది దాటి ఉండకపోతే. కాబట్టి నేను ద్వారా విమాన యొక్క క్రమం, మరియు మీరు కొన్ని విషయాలు తెలియదు ఉండవచ్చు. కానీ వెంటనే, మీరు నేర్చుకుంటారు. మరియు అది అన్ని అర్ధవంతం చేస్తాము. అలాగే మరొక విషయం - నైతిక ఉండడానికి. మీరు తెలుసుకోవడానికి విషయాలు కొన్ని, మీరు కాని నైతిక విధాలుగా ఉపయోగించవచ్చు. 

ఇది మీదే, ఖచ్చితంగా ప్రయత్నించండి. నేను ఖచ్చితంగా మీరు అబ్బాయిలు చైతన్యపరచటంలో మీ స్వంత సర్వర్ ప్రయత్నించండి, ప్రయత్నించండి వాటిని లోపల వెళ్లి. మీరు వాటిని వ్యాప్తి లేదో చూడండి, మీరు వాటిని లోపల లభిస్తే. కానీ ఎవరికీ. కాప్స్ నిజంగా జోకులు ఇష్టం లేదు మొత్తం, మేము ఇక్కడ ఈ ఉంచారు. మేము చుట్టూ సమస్యను చేశారు. వారు నిజంగా కోపం రాదు. 

కాబట్టి ఈ వెబ్సైట్ కు అధిపతి. నేను ఇక్కడ తెరిచారు. ఈ ఒక వెబ్సైట్, మరియు అది ఉదాహరణలు కొంత ఉంది. ఏమి జరుగుతుంది అని మొదటి ఉదాహరణ విధమైన చాలా సులభంగా అన్నారు ఒక కోణంలో గత ఉదాహరణకు కంటే మొదటి ఉదాహరణ పూర్తిగా అసురక్షిత ఉంది. మరియు చివరి విధమైన ఒక ఉంది సాధారణ వెబ్ భద్రతా వ్యక్తి చేయరు. అయితే మీరు ఇప్పటికీ విధమైన చేయవచ్చు ఆ చుట్టూ పొందడానికి. మరియు మేము ఒక దృష్టి చూడాలని మరియు రెండు, ఉదాహరణలు ఒక మరియు రెండు. 

OK. యొక్క క్రాస్ సైట్ స్క్రిప్టింగ్ తో ప్రారంభిద్దాం. జావాస్క్రిప్ట్ నడుస్తుంది క్లయింట్ యొక్క బ్రౌజర్. ఇది మీరు ఉపయోగించే ఒక ప్రోగ్రామింగ్ భాష క్లయింట్ యొక్క బ్రౌజర్ కాబట్టి అమలు మీరు వెబ్సైట్ అప్డేట్ లేదు మరియు సర్వర్ తిరిగి వెళ్ళి. మీరు నడుస్తున్న. ఉదాహరణకు ఫేస్బుక్, మీరు లేదు కొత్త స్థితి కోసం వెబ్సైట్ రీలోడ్ అప్డేట్లను వచ్చిన. ఇది ఉత్పత్తి జావాస్క్రిప్ట్ ఉపయోగించి ఈ విషయాలు. కాబట్టి మేము హానికరమైన జావాస్క్రిప్ట్ ఇంజెక్ట్ చేయవచ్చు వెబ్సైట్లు లోకి. ఆ విధంగా, మేము ఒక లింక్ను పంపండి ఎవరైనా, మేము విధమైన తో పంపవచ్చు మేము కావలసిన కోడ్ కొన్ని. 

నిరంతర మరియు కాని నిరంతర ఉంది జావాస్క్రిప్ట్ - నిరంతర మరియు కాని నిరంతర క్రాస్ సైట్ స్క్రిప్టింగ్, నేను అర్థం. మరియు తేడా నిరంతర ఉండటం అని జావాస్క్రిప్ట్ ఉంది వెబ్సైట్లో సేవ్. మరియు కాని నిరంతర జావాస్క్రిప్ట్ ఉంటుంది వాస్తవానికి కేవలం ఒకసారి జరుగుతుంది. కాబట్టి యొక్క ఒక ఉదాహరణ చూద్దాం నిజమైన త్వరగా. 

OK. కాబట్టి ఈ వెబ్సైట్, సాధారణ, ఏమీ ఇక్కడ జరుగుతుంది. మరియు మేము ప్రయత్నించండి చూడాలని కొన్ని జావాస్క్రిప్ట్ ఇన్సర్ట్. కాబట్టి మేము జావాస్క్రిప్ట్ ను వ్రాయటం మొదలు మార్గం మేము ప్రారంభం స్క్రిప్ట్ ప్రారంభం ఉంది. మరియు మేము స్క్రీప్టుతో దగ్గరగా. మేము కేవలం ఒక సందేశాన్ని పెట్టి చూడాలని - నేను, - హెచ్చరిక. హెచ్చరిక ఒక విధి అని జావాస్క్రిప్ట్ ఏదో ప్రదర్శించడానికి ఉపయోగిస్తుంది. కాబట్టి యొక్క నిజమైన శీఘ్ర ప్రయత్నించండి. నేను, వెళ్ళి హెచ్చరిక హలో వెళుతున్న. Well, నేను ఉంచాలి మర్చిపోతే - OK. కాబట్టి ఆ సులభం. 

మేము ఒక వెబ్ సైట్ లో JavaScript ఉంచాలి, మరియు అది వచ్చింది. మరియు అది విధమైన జరుగుతుంది మా వెబ్ సైట్ లో, కుడి? అది కాదు వంటి కనిపిస్తోంది సమస్య, కుడి? నేను అర్థం, ఎలా మీరు ఉపయోగించవచ్చు ఈ హానికరమైన? హ్యాకర్లు కాబట్టి మార్గం ఈ నిజంగా సులభం. వారు పట్టుకొను చూడాలని. వారు మీరు ఈ లింక్ను పంపుతుంది. నేను ప్రస్తుతం మీరు ఈ లింక్ పంపిస్తాము ఉంటే, మరియు మీరు దానిని తెరిచి, అది వెళుతున్న మాట్లాడుతూ, హలో, పేర్కొన్నట్లు నా వెబ్సైట్ హలో మీరు చెబుతున్నది. 

కాబట్టి నేను ఏదో ఒక చెప్పటానికి ఉంటే కొద్దిగా తెలివిగా, నేను పుల్ అప్ ఒక జావాస్క్రిప్ట్ ఫంక్షన్ నేను రకమైన ఇప్పటికే రాశారు - మీరు చూడండి, నేను వెళ్తారో నేను రాసింది ముందు పైగా. కాబట్టి మేము ఒక సమయం ముగిసింది సెట్ చూడాలని. మేము వేచి చూడాలని ఒక జంట సెకన్లు. నిజానికి, మేము, వేచి చూడాలని నేను, ఐదు సెకన్లు తప్పుగా లేదు. ఈ మిల్లిసెకన్లలో వెళుతుంది. మరియు తర్వాత మనం చేయబోతున్నామని మేము ఉంది అప్రమత్తం వెళ్ళి ఆ లాగిన్ సైన్ తిరిగి లాగిన్ సమయం ముగిసింది మరియు మేము స్థానాన్ని మార్చడానికి వెళుతున్న వేరే స్థానానికి. 

నేను ఎవరైనా ఈ వెబ్సైట్ పంపితే, వారు మాత్రం ప్రశాంతత, చుట్టూ బ్రౌజింగ్. ఏమీ జరుగుతున్నది. మరియు ఐదు సెకన్లలో, ఏమైందా చెప్పటానికి, మీ లాగిన్ సమయం ముగిసింది. తిరిగి లాగిన్ చేయండి వారు ఒకసారి క్లిక్, నేను వెళుతున్న మరో వెబ్సైట్ వాటిని. బహుశా, వెబ్సైట్ వెళుతున్న వెబ్సైట్ లాంటిదే అని వారు ముందు ఉన్నాయి. మరియు వారు లాగిన్ చూడాలని వారి నా వెబ్సైట్ బదులుగా లోకి ఆధారాలను వారి వెబ్సైట్. 

కాబట్టి నేను ప్రజలు ఒక పంపవచ్చు ఈ లింక్తో ఇమెయిల్. నేను ఓహ్, ఇక్కడ ఒక లింక్, చెప్పడానికి. ఈ ఉదాహరణకు, ఒక బ్యాంకు. నేను, ఇక్కడ, సే ఈ లింక్పై వెళ్ళి. వారు పంపడానికి మరియు ఒకసారి, వారు చుట్టూ బ్రౌజింగ్ కావడం. నేను 15 సెకన్లలో, 20 సెకన్లు వేచి ఉండండి, మరియు ఆ మళ్ళీ లాగిన్ చేయండి పాప్ తిరిగి సైన్. మీరు అబ్బాయిలు తో అది ప్రయత్నించవచ్చు చాలా విషయాలు. ఇది సంక్లిష్టమైనది మీరు అబ్బాయిలు ఎందుకంటే జావాస్క్రిప్ట్ చూసిన, కాబట్టి మీరు వాటిని లేదు చేశారు కొన్ని విధులు తెలియదు. కానీ మీరు చేయాల్సిందల్లా ప్రారంభం ఉంది స్క్రిప్ట్ తో, స్క్రిప్ట్ ముగుస్తుందని. మరియు మీరు ఏదైనా చాలు కాలేదు మధ్యలో. 

హెచ్చరిక కోసం వేచి, ఒక విధి. విండో నగర వెళ్తుంది ఒక కొత్త స్థానానికి. కానీ మీకు మరిన్ని చేయవచ్చు. కాబట్టి ఆలోచన ఉంది మేము ఆ టేకాఫ్. నేను ఉదాహరణ రెండు వెళ్ళండి, మరియు నేను ఉంటే ఈ అదే కోడ్ ఉంచారు, ఇది పని ఉండదని. కనుక ఇది ఎందుకంటే ప్రతిదీ ముద్రించిన యొక్క ఈ వెబ్సైట్ నిజానికి నేను ఇక్కడ ఏదైనా ఉంచితే ఉంది చేస్తుంది, ఇది ఇక్కడే అది ప్రింట్ చేస్తాము. కాబట్టి ఏదైనా అవుట్ ప్రింటింగ్ కాదు. ఈ ఉదాహరణకు వాస్తవానికి తనిఖీ ఉంది స్క్రిప్ట్ ఉంటే చూడటానికి. కాబట్టి యేః, ముందుకు. నన్ను అడగండి. 

ప్రేక్షకులు: పంపడం లేదు ఒక పొందండి లేదా అభ్యర్థనను పోస్ట్? 

LUCIANO అరాంగో: అవును. వారు ఒక GET అభ్యర్థన పంపడం. 

ప్రేక్షకులు: ఇది? 

LUCIANO అరాంగో: అవును. అలాగే బ్రౌజర్లు పోస్ట్ అభ్యర్థనలు ఉపయోగించడానికి. కానీ నేను పొందిన అభ్యర్థనలు చూపించడానికి ప్రయత్నిస్తున్నాను మేము ఏమి చూడండి తద్వారా నిజంగా జరుగుతుందో. మేము ఈ కోడ్ వద్ద చూస్తే - కాబట్టి ఇది ఇకపై పని కాదు. మరియు మేము ఈ కోడ్ పరిశీలించి ఉంటే, ఇది ఉదాహరణ రెండు లో చేస్తాడు. ఈ వ్యక్తి చేస్తున్నది, వ్యక్తి ఈ బ్రౌజర్ యొక్క బాధ్యత - OK, ప్రారంభించిన - పదం స్క్రిప్ట్ స్థానంలో ఉంది. ఈ PHP ఉంది, ఇది మీరు అబ్బాయిలు వాటిని ఇంకా కొద్దిగా చూసిన. 

కేవలం స్థానంలో పేరుతో పదం స్క్రిప్ట్. కాబట్టి అయితే, నేను ముందుకు ఉంటే మరియు కేవలం ఉంచారు - వర్ధని కోడ్ పట్టుకోడానికి, మరియు నేను వెళుతున్న ఉంటే ఇది కేవలం కొద్దిగా సవరించడానికి. బదులుగా స్క్రిప్ట్, నేను మార్చడానికి వెళుతున్న అది ఒక రాజధాని R. మరియు స్క్రిప్ట్ కోసం మేము ఈ కోడ్ పని చేస్తే చూడండి చూడాలని. కనుక ఇది ప్రింట్ లేదు ఇది ఒక మంచి సంకేతం. మరియు ఆశాజనక రెండు సెకన్లలో, దానిని పాప్ జరగబోతోంది. 

మీ లాగిన్ సమయం ముగిసింది. OK. ఆ గడుస్తున్నాయి. లిపి కోసం తనిఖీ వాటిని తప్పనిసరిగా పని. వ్యక్తి - స్క్రిప్ట్ పెద్ద కోసం తనిఖీ చేయవచ్చు, స్క్రిప్ట్ చిన్న, STR కేసు వారు అదే నిర్ధారించుకోండి, సరిపోల్చండి. కానీ హ్యాకర్ ఇప్పటికీ విధమైన చేయవచ్చు మేము వెళ్ళినప్పుడు మేము విజెనెరే లో చేసిన జంట అక్షరాలు, ముందుకు. మరియు అది స్క్రిప్ట్ ఉంచండి ఎలా గుర్తించడానికి తిరిగి ఇంజెక్ట్ కనబడలేదు లో స్క్రిప్ట్. 

కాబట్టి మీరు ఉపయోగించడానికి htmlspecialchars ఉంది మీ రక్షించుకోడానికే. మరియు ఈ ఏమి ఇది చేస్తుంది మీరు పలికింది అని - ఉదాహరణకు, ఉల్లేఖనాలు లేదా ఈ - కంటే ఎక్కువ లేదా తక్కువ ఏదో ఆక్రమించటం ఆ ఉండదు - నాకు ఇక్కడ జూమ్, - అసలు ఏంపర్సెండ్. ఇది ఆ ప్రత్యేక HTML భర్తీ చేస్తుంది మేము ఉన్నప్పుడు మేము చూస్తారు అక్షరాలు గురించి మాట్లాడటం - ఓహ్, ఈ నాకు తిరిగి తీసుకోవాలని అన్నారు - ఇక్కడే ఈ అక్షరాలు. 

ఈ అర్థంతో ఏదో వస్తోంది. HTML, ఆ ప్రారంభించి బ్రాకెట్ మాకు చెబుతుంది ఏదో సంబంధిత HTML వస్తోంది. మరియు మేము ఆ వదిలించుకోవటం కావలసిన. మేము ఒక లోకి HTML ఉంచేందుకు వద్దు website.k మేము వినియోగదారు ఉండాలనుకుంటున్నాను లేదు వారి వెబ్సైట్ లో ఏదో ఉంచారు ఆ వంటి, వారి వెబ్సైట్ ప్రభావితం చేయవచ్చు స్క్రిప్ట్ లేదా HTML లేదా అలాంటిదే. ముఖ్యం ఉంది మీరు ఆ యూజర్ ఇన్పుట్ sanitize. 

సో యూజర్లు ఇన్పుట్ అనేక విషయాలు మారవచ్చు. అతను ఇన్పుట్ ప్రయత్నించండి అంశాలు కొంత చెయ్యవచ్చు ఇప్పటికీ మీ బ్రౌజర్ మోసపూరిత ఈ స్క్రిప్ట్ కోడ్ అమలు. మీరు ఏమి కోరుకున్న చూడండి కాదు స్క్రిప్టుకు కానీ ప్రతిదానికీ చూడండి ఆ హానికరమైన కావచ్చు. మరియు htmlspecialchars మనకు మీరు కోసం, కాబట్టి మీరు లేదు దాని గురించి ఆందోళన. కానీ మీరే ద్వారా చేయడానికి ప్రయత్నించండి లేదు విధమైన మీ సొంత కోడ్ తో. ప్రతి ఒక్కరూ XSS స్పష్టంగా ఉంది? 

OK. యొక్క SQL ఇంజెక్షన్ వెళదాం. కాబట్టి SQL ఇంజెక్షన్ బహుశా ఉంది ప్రధమ దాడిని వివిధ వెబ్సైట్లలో. నేను, ఒక మంచి ఉదాహరణ అర్థం - నేను అవతలి పరిశోధన జరిగినది ఈ విషయం కోసం. మరియు నేను ఈ అద్భుతమైన వ్యాసం, దొరకలేదు పేరు నేను హార్వర్డ్ ఉల్లంఘించిన గమనించాను, హ్యాక్. నేను, బాగా, కాదని జరిగినది వారు డూ? హార్వర్డ్, చాలా అద్భుతంగా అత్యంత ఎప్పుడూ విశ్వవిద్యాలయ సురక్షిత. కుడి? బాగా, సర్వర్లు మించే, హ్యాకర్లు ఉపయోగించిన SQL ఇంజెక్షన్ అని సాంకేతికతను. 

శరీరానుసారమైన ఆధారంగా ఒక రోజు జరుగుతుంది. ప్రజలు తీసుకునే మర్చిపోతే SQL ఇంజెక్షన్. హార్వర్డ్ చేస్తుంది. నేను, ఇది ప్రిన్స్టన్, ఇక్కడ భావించే స్టాన్ఫోర్డ్, కార్నెల్. కాబట్టి మేము ఎలా ఏమి - ఈ SQL ఏమిటి ఈ తెచ్చింది ఆ ఇంజక్షన్ ప్రజలు డౌన్? OK. కాబట్టి SQL ఒక ప్రోగ్రామింగ్ భాష అని మేము డేటాబేస్ యాక్సెస్ ఉపయోగించే. మనం మనం ఎంచుకోండి ఉంది - కాబట్టి ఈ ప్రస్తుతం చదువుతుంది ఎంపిక ఉంది పట్టిక నుండి ప్రతిదీ. 

SQL, ఈ డేటాబేస్ లోకి మారుస్తుంది సమాచారం పూర్తి పట్టికలు కలిగి. సో యూజర్లు నుండి ప్రతిదీ ఎంచుకోండి పేరు వాడుకరిపేరు ఉన్న. కుడి? తగినంత సాధారణ. SQL ఇంజెక్షన్ ఆలోచన అని మేము కొన్ని హానికరమైన కోడ్ ఇన్సర్ట్ కోరిరి ఏదో అమలు లోకి సర్వర్ మోసపూరిత అది కంటే వివిధ నిజానికి చేస్తుంది. కాబట్టి యొక్క వాడుకరిపేరు కోసం పిలవబడు, మేము చాలు లేదా 1 1 సమానం. కాబట్టి మేము ఉంచారు లేదా 1 1 సమానం. ఇప్పుడు చదువుతాను ఎంచుకోండి ఉంటుంది వినియోగదారులు, ప్రతిదీ నుండి నుండి వినియోగదారులు - ఇదేనా - పేరు వాడుకరిపేరు, కానీ పేరు యూజర్పేరు లేదా 1 1 సమానం. 

కాబట్టి పేరు ఏమీ లేదా 1 1 సమానం. 1 1 ఎప్పుడూ నిజం సమానం. కాబట్టి ఈ సమాచారం ఎల్లప్పుడూ తిరిగి వినియోగదారులు నుండి. OK. మేము కలిగి లేదు సరైన వాడుకరిపేరు. మేము కావలసిన ఏదైనా కలిగి, మరియు సమాచారాన్ని తిరిగి మేము అవసరమైన. యొక్క మరొక ఉదాహరణ చూద్దాం. 

యూజర్ నుంచి అంశం ఎంచుకోండి ఉంటే, డ్రాప్ పేరు TABLE వినియోగదారులు ఉన్న - కాబట్టి మీరు ఏమి ఆలోచిస్తాడు ఈ విల్ నేను వాడుకరిపేరు లో ఉంచితే డ్రాప్ TABLE వినియోగదారులు వంటి? ఎవరైనా ఒక ఆలోచన ఉందా? అవును. 

ప్రేక్షకులు: ఇది చెప్పడం జరగబోతోంది ఇది అన్ని పట్టికలు డంప్. 

LUCIANO అరాంగో: ఇది మాకు చేస్తాడు వెబ్సైట్ ప్రతిదీ డంప్, డేటాబేస్ ప్రతిదీ. మరియు ప్రజలు కోసం ఈ ఉపయోగించడానికి - కాబట్టి నేను మీరు అబ్బాయిలు చూపించబోతున్నాను. నేను పట్టికలు పడిపోయాడు డిసేబుల్ నేను మీరు ఇష్టం లేదు ఎందుకంటే అబ్బాయిలు నా పట్టికలు డ్రాప్. యొక్క ఈ పరిశీలించి లెట్. కాబట్టి ఈ కేవలం సమాచారాన్ని లాగుతుంది ఒక నిర్దిష్ట వ్యక్తి కోసం. ఈ చేస్తే ఎలా మేము తెలుసు SQL ఇంజెక్షన్ ప్రభావితం. మేము నిజమైన త్వరగా తనిఖీ చూడాలని ఏదో ఉంచవచ్చు, - నాకు ఈ కోడ్ కాపీ. నేను రెండవ ఇది వెళ్ళి వెళుతున్న. నేను root ఉంచారు వెళుతున్న మరియు 1 1 సమానం. 

ఈ ఇక్కడ, ఈ శాతచిహ్నం 23 - ఇది నిజంగా ఏ, నేను వద్ద ఇక్కడ చూడండి - మీరు HTML, సంఖ్యలో పడుతుంది మార్గం నేను ఒక ప్రదేశంలో ఉంచారు పరిశీలించి ఇక్కడ - నేను స్పేస్ ఏదో అయితే ఇక్కడ, ఇది ఒక శాతం 2 మార్చాలి. మీరు అబ్బాయిలు ఇక్కడే ఈ చూస్తారు నేను ఒక ప్రదేశంలో ఉంచారు? ఇది పనిచేస్తుంది మార్గం మీరు మాత్రమే అనేది HTML ద్వారా ASCII విలువలు పంపండి. కనుక ఇది, ఉదాహరణకు, భర్తీ శాతం 20 తో ఖాళీ. నేను తెలియకపోతే మీరు అబ్బాయిలు ముందు చూసాం. 

ఇది శాతం 23 తో హాష్ ట్యాగ్ భర్తీ. మేము ముగింపు లేదా ఒక హాష్ ట్యాగ్ అవసరం ప్రకటన మేము తెలియజేయవచ్చు కాబట్టి బయటకు వ్యాఖ్య మర్చిపోతే డేటాబేస్ చివరిలో ఈ గత సెమికోలన్. మేము ఆ గురించి కాదు అనుకుంటున్నారా. మేము ప్రతిదీ అమలు చేయండి మేము ముందుగా కలిగి మరియు ఆ మీరే. యొక్క ఇది పరిశీలించి లెట్. 

నేను ఏదో ఉంచాలి చేస్తే - యొక్క ఉదాహరణకు పిలవబడు, నేను 2 సమానం చాలు 1, ఇది నాకు ఏదైనా ఇవ్వదు. నేను 1 లో పెట్టి 1 సమానం, మరియు అది ఏదో తిరిగి, ఈ నాకు చెబుతుంది ఈ అవకాశం ఉంది ఒక SQL ఇంజెక్షన్. నేను ఇప్పుడు తెలిసిన సంసార నేను ఈ తరువాత - మరియు ఉదాహరణకు, పట్టికలు DROP లేదా అలాంటిదే ఖచ్చితంగా పని చేస్తుంది. నేను SQL ఇంజెక్షన్ దెబ్బతింది తెలుసు నేను తెలుసు ఎందుకంటే హుడ్ కింద, ఇది ఉంచుతున్నాయి నాకు 1 1 విషయం సమానం చేయండి. OK? 

మరియు మేము ఈ ఇతర వాటిని చూస్తే, సంఖ్య రెండు మరియు మూడవ, అది కొద్దిగా ఎక్కువ చేయబోవడం క్రింద తనిఖీ అది ఏమిటో హుడ్. కాబట్టి ఎవరైనా డ్రాప్ ఎనేబుల్ ఇంకా ఏమీ లేదా ప్రయత్నించారు? మీరు అబ్బాయిలు విధమైన ఇంకా SQL వస్తుందా? నేను తెలుసు ఎందుకంటే మీరు అబ్బాయిలు కలిగి ఇంకా చూసిన, కాబట్టి అది రకమైన ఉంది మీరు అబ్బాయిలు కోసం గందరగోళంగా. యొక్క పరిశీలించి చూద్దాం. కాబట్టి SQLI నిరోధించడానికి మార్గం ఏమిటి? OK. కాబట్టి ఈ నిజంగా ముఖ్యం మీరు ఎందుకంటే అబ్బాయిలు ఖచ్చితంగా నిరోధించడానికి కావాలి ఈ మీ వెబ్ సైట్ లో. 

లేకపోతే, మీ స్నేహితులు వెళ్తున్నారు వారు అన్ని పడిపోయినప్పుడు మీరు హాస్యమాడేందుకు మీ పట్టికలు. కాబట్టి ఆలోచన మీరు SQL రిపేరు ఉంది ఒక నిర్దిష్ట మార్గంలో, అయితే మీరు మ్యాచ్ ఏమి తో యూజర్ ఇన్పుట్లను ఒక నిర్దిష్ట స్ట్రింగ్. కాబట్టి ఈ పనిచేస్తుంది విధంగా మీరు ఉంది డేటాబేస్ సిద్ధం. మీరు పేరు, రంగు, మరియు కెలోరీలు ఎంచుకోండి ఒక డేటాబేస్ అని పండు నుండి. ఆపై కేలరీలు, కంటే తక్కువ ఉన్న మరియు మేము అక్కడ ఒక ప్రశ్న మార్క్ ఉంచండి మేము ఇన్పుట్ చూడాలని చెప్పడం రెండవ లో ఏదో. 

మరియు రంగు సమానం, మరియు మేము ఒక స్పందించారనుకోండి చిహ్నం మేము చూడాలని చెప్పడం ఇన్పుట్ రెండవ ఏదో అలాగే. OK? మరియు తర్వాత మేము ఉంచడం, అది అమలు 150 మరియు ఎరుపు లో. మరియు ఈ చేయడానికి తనిఖీ చేస్తుంది ఖచ్చితంగా ఈ రెండు అని - ఈ శ్రేణి తనిఖీ చేస్తుంది ఈ రెండు పూర్ణాంకం మరియు ఈ స్ట్రింగ్ అని. అప్పుడు మేము వెళ్ళి, మేము పొందడం అన్ని, మేము Red లో ఉంచండి. మేము అన్ని పొందడం అంటే. ఇది మేము నిజంగా SQL అమలు అర్థం ప్రకటన మరియు ఎరుపు లో తిరిగి ఉంచండి. ఇక్కడ మేము అదే, కానీ మేము పసుపు సాధించవచ్చన్నారు. మరియు మేము అన్ని పొందడం. 

మరియు ఈ విధంగా, మేము వినియోగదారు నిరోధించడానికి ఇన్పుట్ ఏదో ఉండకుండా మేము పేర్కొన్న ఏమి, ఒక స్ట్రింగ్ కాదు లేదా పూర్ణాంకం, ఉదాహరణకు. నేను ముందుగా గురించి మాట్లాడుతున్నాను ఇతరులు ఆధారపడటం. మీరు అబ్బాయిలు మీ ప్రాజెక్ట్ మొదలు, మీరు ఉన్నాము చాలా ఖచ్చితంగా ఉపయోగించడానికి వెళుతున్న బూట్స్ట్రాప్ లేదా ఇలాంటి ఏదో. మీరు అబ్బాయిలు ఎప్పుడూ Wordpress ఉపయోగించారు? బహుశా మీరు అబ్బాయిలు ఉపయోగించారు బ్లాగు ఎక్కువగా. ఉపయోగించి సమస్య కాబట్టి ఇతరుల విషయాలు - నేను Google నిజమైన త్వరగా వెళుతున్న బ్లాగు దాడిని. 

నేను ప్రస్తుతం ఈ పుల్ అప్ ఉంటే - నేను అక్షరాలా ఒక రెండు రెండవ Google చేశాడు. మేము ఆ బ్లాగు చూడగలరు - ఈ సెప్టెంబర్ '12 వంటి చెందినది. 26 నవీకరించబడింది. Wordpress యొక్క అప్రమేయ ఆకృతీకరణ 3.6 ఈ నిరోధించలేదు ముందు కొన్ని ఎక్కింపులు, ఇది మైట్ ఇది సులభంగా క్రాస్ సైట్ స్క్రిప్టింగ్ దాడులు. కాబట్టి ఒక శీఘ్ర కథ, ఒకసారి మేము పని తో - నేను ఒక పని, వేసవిలో, ఉంది ఇంటర్న్. మరియు మేము విధమైన తో పనిచేసే ఒక పెద్ద క్రెడిట్ కార్డు సంస్థ వంటి. 

మరియు వారు అని ఏదో ఆధారపడి - మీరు అబ్బాయిలు ఇప్పటివరకు ఆడిన ఉంటే నాకు తెలీదు జూమ్ల అనే ఉత్పత్తి తో. జూమ్ల ఉపయోగిస్తారు ఒక ఉత్పత్తి నియంత్రణ - విధమైన పోలి వెబ్ సైట్ ఉపయోగిస్తారు WordPress,. వారు వారి వెబ్ సైట్ కలిగి జూమ్ల పని. ఈ నిజానికి ఒక క్రెడిట్ కార్డు ఉంది కొలంబియా లో కంపెనీ. నేను మిమ్మల్ని తీసుకొని వెళ్తాము వారి వెబ్సైట్ నిజమైన త్వరగా. 

కాబట్టి వారు జూమ్ల ఉపయోగిస్తారు. మరియు వారు జూమ్ల నవీకరించబడింది లేదు తాజా అదనంగా. అందువలన మేము పరిశీలించి తీసుకోవడానికి సమయంలో వారి కోడ్, మేము నిజంగా సాధించారు వారి కోడ్ లోపల వెళ్ళి దొంగతనం అన్ని వారు ఉందని క్రెడిట్ కార్డ్ సమాచారాన్ని, అన్ని క్రెడిట్ కార్డ్ నంబర్లు, పేర్లు, చిరునామాలు. మరియు ఈ కేవలం ఉంది - మరియు వారి కోడ్ సంపూర్ణ జరిమానా ఉంది. వారు గొప్ప కోడ్ వచ్చింది. ఇది అన్ని భద్రతావ్యవహారాల. వారు అన్ని డేటాబేస్ తనిఖీ. వారు క్రాస్ సైట్ ఖచ్చితంగా చేసిన స్క్రిప్టింగ్ జరిమానా ఉంది. 

కానీ వారు కాదు అని ఏదో ఉపయోగిస్తారు నవీకరించబడింది, ఆ సురక్షిత కాదు. కాబట్టి వాటిని దారితీసింది - మీరు అబ్బాయిలు ఖచ్చితంగా ఇతర ఉపయోగించడానికి వెళ్తున్నారు ప్రజల కోడ్, ఇతరుల చట్రాలు మీ వెబ్సైట్ నిర్మించటానికి. అవి సురక్షిత నిర్ధారించుకోండి ఎందుకంటే కొన్నిసార్లు, ఒక మీరు కాదు తప్పు. కానీ ఎవరో తప్పు, మరియు అప్పుడు మీరు ఆ కారణంగా డౌన్ వస్తాయి. 

పాస్వర్డ్లు మరియు PII. కాబట్టి పాస్వర్డ్లను. OK. పాస్ వర్డ్ పరిశీలించి లెట్ నిజమైన త్వరగా. OK. కాకుండా, ప్రతి ఒక్కరూ సురక్షిత ఉపయోగిస్తుంది - నేను ఇక్కడ ప్రతి ఒక్కరూ ఆశతో వెబ్ పాస్వర్డ్ ఉపయోగిస్తుంది. నేను తెలియజేసినందుకు చేస్తున్నాను ఒక అభిప్రాయంగా లో. కాబట్టి మీరు అబ్బాయిలు ఖచ్చితంగా వెళ్తున్నారు మీ వెబ్సైట్లకు పాస్వర్డ్లను నిల్వ. మీరు అలాంటిదే చేస్తాయి చూడాలని ఆ వంటి లాగిన్ ఏదో. ముఖ్యం నిల్వ లేదు ఉంది సాదా వచనంలో. ఈ చాలా ముఖ్యం. మీరు నిల్వ మీరు లేదు ఒక సాదా టెక్స్ట్లో పాస్వర్డ్ను. 

మరియు మీరు ఖచ్చితంగా నిజంగా ఇష్టం లేదు ఒక ఒక మార్గం హాష్ లో నిల్వ. కాబట్టి ఏమి ఒక మార్గం హాష్ అని మీరు మీరు ఈ ఉంచారు, ఒక పదం ఉత్పత్తి ఒక హాష్ విధి పదం, అది నిగూఢ విధమైన తిరిగి ఉత్పత్తి సందేశం లేదా కీలను నిగూఢ సెట్. నేను మీరు ఒక ఉదాహరణ చూపిస్తాను. నేను వారు పదం password1 హాష్ వెళుతున్న. కాబట్టి MD5 హాష్ నాకు తిరిగి అన్నారు విచిత్రమైన సమాచారం విధమైన. 

సమస్య మంది ఉంది వెబ్సైట్లు లోకి వెళ్ళాలనుకుంటున్నారా కలిగి ఇప్పటికే విధమైన కనుగొన్నారు అన్ని MD5 hashes యొక్క. వారు ఆగిపోయాడు ఉంది ఏమి వారి కంప్యూటర్లు మరియు ప్రతి హ్యాష్ అక్కడ ఒకే పదం వరకు వారు విధమైన ఏమిటి వచ్చింది. నేను ఈ చూసేందుకు ఉంటే - నేను ఈ హాష్ పట్టుకుని. నేను నుండి ఈ హాష్ వస్తే - నేను ఒక వెబ్ సైట్ లోకి వెళ్ళి, మరియు నేను ఉంటే ఈ హాష్ నేను ను ఎందుకంటే డేటాబేస్లు మరియు నేను వెతకండి, ఎవరైనా ఇప్పటికే నాకు దిగులేసింది. 

అవును. కాబట్టి ప్రజలు కూర్చుని, మరియు సంసార MD5 లో పెట్టే హాష్, వారు చూడాలని మీరు తిరిగి ఏదో ఒక పదం. నేను వంటి, మరొక పదం హాష్ ఉంటే - నేను తెలియదు - trees2. నేను నిరాశ వద్దు నా Google శోధనలు ద్వారా. అక్కడ అది, trees2 ఉంది. కాబట్టి వెబ్సైట్లు చాలా ఇప్పటికీ MD5 హాష్ ఉపయోగించడానికి. వారు OH, సురక్షితంగా, చెప్పటానికి. మేము సాదా టెక్స్ట్లో నిల్వ లేదు. మేము ఈ md5 హాష్ కలిగి. నేను చేయాల్సిందల్లా కేవలం ఉంది సంఖ్య గూగుల్. 

నేను కూడా నాకు లెక్కించడానికి లేదు. నేను అది గూగుల్, మరియు ఎవరైనా ఇప్పటికే నాకు అది. ఇక్కడ వాటిలో కొంత ఉంది. ఇక్కడ పాస్వర్డ్లను ఒక సమూహం. కాబట్టి ఖచ్చితంగా MD5 హాష్ ఉపయోగించవు, ఎందుకంటే మీరు చేయాల్సిందల్లా అలా Google ఇది. కాబట్టి మీరు బదులుగా వాడదలచారు? OK. లవణీకరణ చేయించుకోవచ్చు. కాబట్టి ఏమి లవణీకరణ ఉంది - మేము మీరు అబ్బాయిలు గుర్తు యాదృచ్ఛిక గురించి మాట్లాడటం - నేను ఇది ఏమి pset ఖచ్చితంగా తెలియదు - అది pset లేదా నాలుగు చేశారు? 

మేము కనుగొనడంలో గురించి మాట్లాడుతూ గడ్డివాము సూది. మరియు pset తెలిపింది మీరు ప్రవర్తించేవారు వాస్తవానికి యాదృచ్ఛిక గుర్తించడానికి ఇప్పటికే ఒకరు నడిచింది ఎందుకంటే ఉత్పత్తి యాదృచ్ఛిక ఒక మిలియన్ సార్లు మరియు కేవలం విధమైన అవి ఉత్పత్తి తయారు. మీరు చేయాలనుకుంటున్నారా ఉంది ఒక ఇన్పుట్ లో. కాబట్టి ఆ విధమైన ఏమిటి ఉప్పును కలపడం ఉంది. వారు ఇప్పటికే ఉప్పును కలపడం ఏమి కనుగొన్నారు ప్రతి కోసం తిరిగి. 

కాబట్టి ఏమి లవణీకరణ చేస్తుంది మీరు ఉప్పు చాలు. మీరు ఒక నిర్దిష్ట పదం ఉంచారు. మరియు అది ఆధారపడి ఆ పదం హాష్ చేస్తుంది మీరు ఇక్కడ ఉంచారు ఏం. నేను ఈ తో పాస్వర్డ్ను హాష్ ఉంటే వాక్యం, ఇది హాష్ చేస్తాడు నేను password1 హాష్ భిన్నంగా ఉంటే వేరే వాక్యం. ఇది విధమైన ఎక్కడో ఇది ఇస్తుంది ప్రారంభించడానికి హాషింగ్ కోసం ప్రారంభించండి. కాబట్టి మీరు లెక్కించడానికి చాలా కష్టం కానీ ఇప్పటికీ ముఖ్యంగా, ఇది గణించవచ్చు మీరు ఒక చెడు ఉప్పు ఉపయోగిస్తే. 

ప్రజలు ఇప్పటికే కూడా కనుగొన్నారు సాధారణ లవణాలు మరియు కనుగొన్నారు ఇది అని ఏమి. యాధృచ్ఛిక లవణాలు మెరుగైన, కానీ ఉత్తమ మార్గం ఉపయోగించడానికి ఉంది గోరీ అనే. మరియు నేల మీరు అనుమతిస్తుంది కాబట్టి ఈ పనిచేస్తుంది - లేదు ఇప్పటికే మీరు కోసం నిర్మించారు. చాలా మంది ఆ మర్చిపోతే, లేదా వారు ఉపయోగించడానికి మర్చిపోతే. కానీ నేను నేల PHP, గోరీ అప్ చూస్తే ఇప్పటికే నాకు హాష్ స్ట్రింగ్ తిరిగి. మరియు అది నిజానికి చాలా సార్లు లవణాలు మరియు అది అనేక సార్లు hashes. 

కాబట్టి మేము దీన్ని లేదు. కాబట్టి మీరు చేయాల్సిందల్లా ఉంది సమాధి లోకి పంపించండి. మరియు అది ఒక గొప్ప హాష్ సృష్టిస్తుంది మీరు ఉప్పు గురించి ఆందోళన కలిగి లేదా ఏదైనా. మీరు ఉప్పు దానిని అయితే, మీరు ఎందుకంటే మీరు ఏ ఉపయోగిస్తారు SALT గుర్తు ఎందుకంటే, మీరు పొందలేము మీ తిరిగి లేకుండా పాస్వర్డ్ను మీరు ఉపయోగించిన ఉప్పు. OK. 

మరియు కూడా వ్యక్తిగత గుర్తింపు సమాచారం. కాబట్టి సామాజిక భద్రత, క్రెడిట్ కార్డు - ఆ అందమైన స్పష్టమైన వార్తలు. కానీ కొన్నిసార్లు ప్రజలు మార్గం మర్చిపోతే ఇది రచనలు మీరు ఎంత సమాచారం, ఉంది నిజానికి కొన్ని ఒక వ్యక్తి కనుగొనేందుకు అవసరం? ఎవరో గురించి ఒక అధ్యయనం ఈ ఒక మార్గం తిరిగి. మరియు మీరు కలిగి ఉంటే, వంటిది ఒక పూర్తి పేరు, మీరు దొరకలేదా సులభంగా ఎవరైనా. కానీ మీరు ఒక పూర్తి పేరు కలిగి ఉంటే మరియు పుట్టిన వారి తేదీ? గుర్తించడానికి తగినంత ఉంది ప్రత్యేకంగా ఎవరైనా? 

మీరు వారి పేరు మరియు కలిగి ఉంటే వారు నివసించే వీధి చిరునామా? ఎవరైనా కనుగొనేందుకు సరిపోతుంది? వారు ప్రశ్న ఉన్నప్పుడు మరియు ఆ ఉంటుంది ఏమి, ఉంది వ్యక్తిగత గుర్తింపు సమాచారం, మరియు మీరు గురించి ఏమి చింతించాలి ఇవ్వడం లేదు? మీరు వ్యక్తిగత గుర్తింపు దూరంగా ఇవ్వాలని ఉంటే ఎవరైనా మీరు ఇచ్చే సమాచారం, మీరు శక్తివంతంగా వ్యాజ్యానికి గురి కాలేదు. మరియు మేము ఖచ్చితంగా ఆలోచనల్లోనే. 

కాబట్టి మీరు మీ వెబ్సైట్ పెట్టటం చేసినప్పుడు అవుట్, మరియు మీరు ఒక నిజంగా చల్లని చేశారు డిజైన్, ఆశాజనక మీరు చేసిన ఒక సంభ్రమాన్నికలిగించే చివరి ప్రాజెక్టు. మీరు విధమైన కావలసిన అక్కడ తప్పిపోవుట. మీరు నిర్ధారించుకోండి కావలసినట్లు ఇది ఉంటే, వినియోగదారు నుండి వేస్తున్నాము వ్యక్తిగత గుర్తింపు సమాచారం, మీరు మీరు నిజంగా ఉండటం అనుకున్న అది జాగ్రత్తగా. 

షెల్ ఇంజక్షన్. OK. షెల్ ఇంజక్షన్ చొరబాటుదారుడు అనుమతిస్తుంది మీ వాస్తవ కమాండ్ లైన్ ప్రాప్తి మీ సర్వర్ లో. అందుకే కోడ్ అమలు సమర్థులైన మీరు నియంత్రించలేము. యొక్క ఈ ఒక ఉదాహరణ తీసుకుందాం ఇక్కడే అందమైన స్ట్రింగ్. మేము మళ్ళీ వెబ్సైట్ వెళ్ళాలని, నేను ఉన్నాను కోడ్ ఇంజక్షన్ వెళ్ళాలని అన్నారు. కాబట్టి ఈ చేస్తుంది - ఇది మేము ఏ కూడా ముందు చూడటం. మేము ఏ ఉంచారు యూజర్ తెలియజేసినందుకు చేస్తున్నారు తనకు, మరియు అది ముద్రిస్తుంది మీకు కావలసిన సంసార. 

నేను ఒక కాల్ వెళుతున్న. ఈ చేస్తుంది - ఇది Concatenating ద్వారా ప్రారంభమౌతుంది. కనుక ఇది నాకు అమలు అనుమతిస్తాయి ఉంటుంది సంసార వ్యక్తి యొక్క నడుస్తున్న ఆదేశం ముందు మరియు నా ఆదేశాన్ని. నేను ఒక సిస్టమ్ను అమలు చేస్తున్నాను. మరియు ఈ గత తీగలు ఉంటాయి - గుర్తు నేను గురించి మీరు అబ్బాయిలు మాట్లాడి, మీరు ఎన్కోడ్ ఉంటుంది అయితే ఇది ఒక URL పద్దతి లో. నేను ఇప్పుడు ఈ అమలు చేస్తే - నేను ఇక్కడ మీరు తెలియజేస్తాము - మీరు ముగిసింది చూస్తారు అప్ ఒక ఆదేశం అమలు. 

ఈ నిజానికి అసలు సర్వర్ నా వెబ్ సైట్ లో అమలవుతున్న. కాబట్టి మేము ఆ అనుకుంటున్న నేను అమలు ఎందుకంటే - ఈ సర్వర్ గని కాదు. కాబట్టి నేను మెస్ అనుకుంటున్న తన సోదరి, మార్కస్ యొక్క సర్వర్. కానీ మీరు మరింత ఆదేశాలను అమలు చెయ్యవచ్చు ప్రమాదకరమైన అని. మరియు శక్తివంతంగా, మీరు తొలగించవచ్చు కాలేదు ఫైల్సు, తొలగించండి. నేను ఒక నిర్దిష్ట డైరెక్టరీ ఉంటే తొలగించవచ్చు నేను కోరుకున్నాడు, కానీ నేను అనుకుంటున్న మార్కస్ ఆ లేదు. అతను ఒక మంచి వ్యక్తి. అతను నాకు తన సర్వర్ ఋణం తెలియజేయండి. నేను అతన్ని వెళుతున్న మంచి ఒక ఆఫ్. 

కాబట్టి మనం ఉపయోగించడానికి వద్దు - మేము లేదు eval లేదా వ్యవస్థ ఉపయోగించడానికి. Eval లేదా వ్యవస్థ అనుమతిస్తుంది ఈ వ్యవస్థ కాల్స్. Eval మార్గాల విశ్లేషించడానికి. సిస్టం నేను నడిచింది అర్థం. ఇది వ్యవస్థలో ఏదో అమలు. కానీ మేము ఈ విషయాలను చట్టవిరుద్ధం చేయవచ్చు PHP మేము వాటిని ఉపయోగించని కాబట్టి. మరియు లోడ్. నేను ఒక సంభ్రమాన్నికలిగించే చేయబోవడం ఫైలు అప్లోడ్ తో విషయం. కానీ నేను, నా ఫైలు మీరు అబ్బాయిలు చెప్పారు అప్లోడ్ పనిచేయుచు లేదు. నేను ప్రస్తుతం ఒక అప్లోడు ఉంటే - నేను ఒక ఫైల్ అప్లోడ్ ఉన్నాయి, ఉంటే మరియు అది ఒక బొమ్మను - మీరు ఒక అప్లోడ్ విషయం కలిగి ఆ బొమ్మను. ఆ మంచిది. ఏమీ జరగలేదు. 

కానీ మీరు ఒక ఫైలు అప్లోడ్, కోసం ఉంటే ఉదాహరణకు, మరియు యూజర్ వాస్తవానికి ఎక్కింపులు ఒక PHP ఫైలు లేదా ఒక exe ఫైలు లేదా ఏదో ఆ వంటి, మీరు సమర్థవంతంగా అని సమస్య. ఈ ముందు పని. దురదృష్టవశాత్తు నాకు, అది ఇకపై పని లేదు. నేను, ఉదాహరణకు, అప్లోడు, నేను ఉన్నాను అప్లోడ్ అనుమతి పొందడానికి కాదు సర్వర్ కారణంగా ఫైలు గని లేదని. కాబట్టి గై నిజంగా స్మార్ట్ ఉంది. 

కాబట్టి మేము అనుకుంటున్న - నేను మీరు అబ్బాయిలు చూపించబోతున్నాను - OK, ఈ కొన్ని నిజంగా చల్లని ఉపకరణాలు. కాబట్టి ఈ - వెళ్ళాలని - మీరు అబ్బాయిలు Firefox ఉంటే - ఆశాజనక మీరు. SQL ఇంజెక్ట్ అని రెండు add-ons ఉంది నాకు మరియు క్రాస్ సైట్ స్క్రిప్ట్ నా. వారు చిన్న సైడ్ ప్రారంభించిన వైపు బార్లు. నేను వెళ్ళడానికి అయితే ఉదాహరణకు CS60 - కాబట్టి ఏమిటి అది కనిపిస్తోంది ఉంది అన్ని రూపాలు కోసం - ఆశాజనక, నేను అందదు ఈ కోసం ఇబ్బందుల్లో. 

కానీ OK. ఇక్కడ పిన్ వ్యవస్థ. నేను రంధ్రాలు కోసం చూస్తున్న మొదలు ఉన్నప్పుడు వ్యవస్థ, నేను మొదటి విషయం ఉంది ఈ అందమైన చిన్న ప్రారంభించిన వైపు సాధనం. నేను రకాల పరీక్ష వెళుతున్న ఆటో దాడులు. కాబట్టి ఏమి ఈ నెమ్మదిగా ఉంటుంది బ్రౌజర్ల కొంత ప్రారంభించిన. ఇక్కడ బ్రౌజర్లు ఒక సమూహం. మరియు అది ప్రతి కలయిక ప్రయత్నిస్తున్నాడు క్రాస్ సైట్ స్క్రిప్టింగ్ అక్కడ బహుశా, ఉంటే ఆ మీరు వైపు చూడండి. 

మరియు అది నాకు ఫలితంగా ఇస్తుంది సమాధానం ఏమి విధమైన. అన్ని పాస్. సహజంగానే, వారు అన్ని పాస్. నా ఉద్దేశ్యం, అవి నిజంగా ఏమవుతుందోనని అక్కడికి ప్రజలు. కానీ నేను అయితే అమలు - నేను ఈ అమలు ముందు సార్లు ఉంది విద్యార్థులు 'చివరి ప్రాజెక్టులు. నేను కేవలం నా ఇంజెక్ట్ SQL అమలు అన్ని వివిధ దాడులు. మరియు అది SQL ఇంజెక్ట్ ప్రయత్నిస్తున్నాడు ఈ పిన్ సర్వర్. మేము స్క్రోల్ డౌన్, కోసం కాబట్టి ఉదాహరణకు, అది - ఇది తిరిగి ఉంటే ఈ మంచి ఉంది. 

కనుక ఇది కొన్ని కొన్ని విలువలు పరీక్షలు. మరియు సర్వర్ తిరిగి కోడ్ ప్రతికూల ఉంది. తాత్కాలికంగా తొలగించండి. ఈ మంచి ఉంది. ఇది అన్ని ఈ పరీక్షలు ప్రయత్నిస్తుంది. సో మీరు అమలు కాలేదు - నేను ఒక వెబ్సైట్ నిజ కనుగొనగలిగితే అనుకుంటున్నారా శీఘ్ర నాకు వీలు - బహుశా CS50 స్టోర్. 

వావ్, ఈ అన్నారు మార్గం చాలా పొడవుగా పడుతుంది. నేను తెలియజేస్తాము మొదటి టెస్ట్ కుడి పూర్తి. కనుక ఇది ఫిర్యాదు యొక్క. సో విషయాలు. ఈ సాధనాలు ఉచితం. మీరు డౌన్లోడ్ మరియు వాటిని అమలు చెయ్యవచ్చు మీ వెబ్సైట్, మరియు అది ఇత్సెల్ఫ్ ఉంటే మీరు క్రాస్ సైట్ స్క్రిప్టింగ్ ఉన్నాయి, మీరు కలిగి ఉంటే మీరు, SQL కలిగి ఉంటే వంటి ఏదో. నేను విధమైన అప్ సమస్యను వెబ్. 

ముఖ్యం - OK, కాబట్టి యూజర్ ట్రస్ట్ ఎప్పుడూ. మీకు ఏది యూజర్ ఇన్పుట్లను, తయారు ఖచ్చితంగా మీరు sanitize, మీరు శుభ్రం, మీరు కుడి విషయాలు కోసం తనిఖీ, ఇది మీరు మీరు ఇచ్చి చేసే అతనికి మీరు ఇవ్వాలని. ఎల్లప్పుడూ అప్డేట్ ఏమి చట్రాలు మీరు నిజంగా ఆ ఉపయోగిస్తున్నారు. - మీరు బూట్స్ట్రాప్ లాగ ఉపయోగిస్తే నేను మీరు అబ్బాయిలు ఉపయోగించడానికి వెళ్తున్నారు తెలుసు అతను వెళ్ళి వెళుతున్న ఎందుకంటే బూట్స్ట్రాప్ ఈ వెంటనే తరగతి - మరియు WordPress లేదా అలాంటిదే, సాధారణంగా ఈ హ్యాక్ చేయవచ్చు. 

ఆపై మీరు కూడా తెలియదు. మీరు మీ సైట్ అమలు చేస్తున్నారు. మరియు అది పూర్తిగా సురక్షితంగా. మరియు మీరు డౌన్ వెళ్ళి. నేను నిజంగా ప్రారంభ చేపలు పట్టే. కానీ నేను Pentest ల్యాబ్స్ ధన్యవాదాలు అనుకుంటున్నారా. నేను మీరు అబ్బాయిలు ఏదో చూపించబోతున్నాను Pentest లాబ్స్ అనే. మీరు అబ్బాయిలు నిజంగా ఆసక్తి ఉంటే నిజంగా, ఒక ఉంది ఏమి భద్రతా Pentest ల్యాబ్స్ ఉంటే అని వెబ్సైట్ మీరు అబ్బాయిలు ప్రస్తుతం అది వెళ్ళండి. ఓహ్, బాగా, అది కాదు. నేను, ఈ వంటి అమలు వెళుతున్న. Google నాకు సమాధానం చెబుతుంది. 

OK. మరియు మీరు ఉపయోగించడానికి బోధిస్తుంది - కాబట్టి ఇది చెప్పారు, వెబ్ వ్యాప్తి తెలుసుకోవడానికి సరైన మార్గం పరీక్ష. ఇది మీరు బోధిస్తుంది - ఆశాజనక, మీరు ఒక నైతిక వ్యక్తి. కానీ మీరు చూడండి ఎలా మీరు బోధిస్తుంది వెబ్సైట్లు లోపల పొందుటకు ఎలా. మరియు మీరు తెలుసుకోవడానికి లోపల పొందుటకు ఎలా వెబ్సైట్లు, మీరు తెలుసుకోవచ్చు ఎలా పొందడంలో మిమ్మల్ని మీరు రక్షించుకోవడానికి లోపల వెబ్సైట్లు. నా దగ్గరికి జూమ్ తెలియజేయండి బహుశా మీరు అబ్బాయిలు ఎందుకంటే ఈ కుడి చూడటం లేదు. 

SQL ఇంజెక్షన్ నుండి, షెల్ విధమైన నేను SQL నుండి పొందవచ్చు ఎలా షెల్ ఇంజక్షన్. మరియు మీరు ఈ వర్చువల్ మెషిన్. మరియు వర్చ్యువల్ మిషన్ ఇప్పటికే వస్తుంది మీరు వెబ్సైట్కు తో దానిపై ప్రయత్నించండి అన్నారు. మీరు ఈ PDF డౌన్లోడ్. మరియు ఇది లైన్ ద్వారా మీరు లైన్ చూపుతుంది ఏమి మీరు తనిఖీ ఏమి, చేయాల్సిందల్లా. ఈ ఏమి దాడి నిజానికి ఉంది ఒక వెబ్సైట్ లోపల పొందుటకు చేస్తుంది. 

మరియు ఈ విషయాన్ని కొన్ని సంక్లిష్టంగా ఉంటుంది. నేను ఎక్కువ వెళ్ళవచ్చు అనుకుంటున్నారా మీరు అబ్బాయిలు తో విషయాలు. కానీ నేను ఆందోళన మీరు అబ్బాయిలు నిజంగా లేదు - ఈ నేను వెళ్లి ఏమిటి మీరు అబ్బాయిలు, వెబ్ పరీక్షలు వ్యాప్తి పరీక్ష కోసం. నిజంగా తెలియదు ఏమి SQL మరియు ఏ - కార్ల్ జాక్సన్ యొక్క సదస్సు అలాగే అద్భుతం. మీరు అబ్బాయిలు విధమైన తెలియదు ఈ యొక్క. కానీ మీరు మీరు ఈ వెబ్సైట్ వెళ్ళండి, మరియు ఈ ట్యుటోరియల్స్ మరియు ఈ డౌన్లోడ్ లు, మీరు విధమైన పరిశీలించి చేయవచ్చు భద్రత ప్రాంతంలో నిజంగా ఏమి వ్యాప్తి పరీక్ష లో, చూడండి ఎలా మీరు లోపల పొందండి రక్షించడానికి మీరుగా నుండి. 

నేను ఒక సూపర్ శీఘ్ర వివరణ చేస్తే, ఇది క్రాస్ సైట్ స్క్రిప్టింగ్ నిరోధించడానికి వస్తారు. మీరు htmlspecialchars ప్రతి ఉపయోగించడానికి యూజర్ ఇన్పుట్లను ఏదో సమయం. SQL ఇంజెక్షన్ అడ్డుకో. మీరు అలా ఉంటే, మీరు ఇప్పటికే ఉన్నారు హార్వర్డ్ కంటే ఉత్తమం వారు ఉల్లంఘించిన ఎదుర్కొన్నప్పుడు. మరియు మీ పాస్వర్డ్లను నిర్ధారించుకోండి సాదా టెక్స్ట్లో లేని. ఖచ్చితంగా మీరు ఒక మార్గం హాష్ మాత్రమే చేయండి వాటిని కానీ మీరు నేల ఉపయోగించే, PHP నేను మీరు అబ్బాయిలు చూపించారు ఫంక్షన్. ఆ విధంగా, మీరు మంచి ఉండాలి. 

మీ స్నేహితులు ఉంటే కూడా, మీరు, అమలు వారి వెబ్సైట్లలో నా ఇంజెక్ట్ SQL. అమలు క్రాస్ సైట్ స్క్రిప్టింగ్ వారి వెబ్సైట్లలో. మరియు మీరు ఈ వెబ్ సైట్ యొక్క చాలా చూస్తారు ప్రమాదాలను ఒక టన్ను. ఇది చాలా మంది మర్చిపోతే ఎలా అద్భుతమైన ఉంది వారి డేటాబేస్ sanitize లేదా చేయడానికి ఖచ్చితంగా ఏమి వ్యక్తి యొక్క ఇవ్వడం స్క్రిప్ట్ కోడ్ కాదు. OK. నేను విధమైన నిజంగా ప్రారంభ ముగిసింది. కానీ ఎవరైనా గురించి ఏదైనా ప్రశ్నలు ఉంటే ఏదైనా, మీరు నాకు ఒక ప్రశ్న షూట్. అవును. వెళ్ళి, గో. 

ప్రేక్షకులు: నేను కోరవలసి, మీరు ఫైల్ ఎలా వివరిస్తుంది ఖచ్చితంగా రచనలు అప్లోడ్. 

LUCIANO అరాంగో: అవును. నాలో మీరు ఫైల్ తెలియజేయండి నిజమైన త్వరగా అప్లోడ్. కనుక ఫైల్ అప్లోడ్ - సమస్య ఫైలు అప్లోడ్ తెలివి ప్రస్తుతం ఉంది - నేను మీరు అబ్బాయిలు కోడ్ తెరిచి వెళుతున్న తెర వెనుక కోడ్ చూడండి. మరియు అది అప్లోడ్ ఉంది. ఇక్కడ ఫైల్ అప్లోడ్ కోసం ఒక కోడ్ ఉంది. 

మేము ఈ లోకి వెళ్ళడానికి ప్రయత్నిస్తున్న ఇక్కడ పైగా డైరెక్టరీ. మరియు మేము, ప్రయత్నిస్తున్న మేము ఇన్పుట్ ఒకసారి ఫైలు, isset ఫైలు - కాబట్టి ఒక ఉంది అప్పుడు, FILES, ఆ చిత్రం లో దాఖలు మేము ఇక్కడ ప్రయత్నిద్దాము. మేము ఇక్కడ పైగా ఫైలు పట్టుకోడానికి. పద్ధతి POST, రకం, చిత్రం, ఫైలు. మరియు మేము ఈ ఫైలు పంపిస్తున్నాం. మరియు తర్వాత మేము పొందండి ఒకసారి, ఒకసారి ఫైలు ఒక చిత్రం ఉంది, మేము అది పంపడానికి ప్రయత్నిస్తున్న ఈ డైరెక్టరీకి. 

సమస్య వెబ్సైట్ కాదు , ఈ డైరెక్టరీ వెళ్లి తెలియజేసినందుకు ఇది నాకు శ్రీశివస్వరూపము లేదు ఎందుకంటే. ఇది నాకు వెళ్ళడానికి లేదు - నేను వెళ్ళాలి - ఇక్కడ అప్లోడ్ యొక్క. ఇక్కడ చిత్రాలు వార్తలు. నేను అన్ని మార్గం తిరిగి వెళ్ళడానికి కలిగి ప్రారంభించి మరియు అక్కడ లో అది చాలు మరియు వెళ్ళి డైరెక్టరీలో ఉంచండి. నేను టెర్మినల్ విండో నడుస్తున్న చేస్తే, మరియు నేను ఒక ఫైల్ తరలించడానికి కావలెను - [వినబడని] ఇది చూడగలరు. నేను ఒక ఫైల్ తరలింపు కోరుకుంటే, నేను కలిగి అప్పుడు ఫైల్ పేరు ఉంచారు పూర్తి మార్గం నేను దానిని పంపాలని. 

ఆపై సర్వర్ కాదు నాకు తిరిగి పగుళ్లు. మరియు అందువలన తెలియజేసినందుకు కాదు నాకు ఫైల్ ను. కానీ సాధారణంగా - కాబట్టి కోసం ఒక కోడ్ ఉంది ఫైలు అప్లోడ్. కాబట్టి సాధారణంగా ఏం జరుగుతుందో అని వ్యక్తి తనిఖీ లేదు ఉంటే నా ఫైలు . jpeg ముగుస్తుంది, నేను తనిఖీ కావాలో. నాకు చాలా నిజమైన త్వరగా ఒక ఉదాహరణ ప్రారంభం లెట్. 

OK. ఈ వ్యక్తి కుడి - కాబట్టి ఉదాహరణకు రెండు తనిఖీ ఉంది preg_match ఉంటే - ఇక్కడ అది ఇక్కడ ఉంది - ఖచ్చితంగా ఆ ముగుస్తుంది చేయడానికి మంచి ఇది PHP,. ఈ మంచి ఉంది. కానీ నిజమైన పెద్ద ఉంది ఈ సమస్యను. ఈ మంచి ఉంది. కానీ నేను అనే ఫైల్ ఉంచాలి ఉన్నట్లయితే myfavoritepicture.php.jpeg, నేను ఇప్పటికీ సమర్థవంతంగా jpeg వదిలించుకోవటం మరియు ఆ PHP యొక్క ప్రమాదకరమైన it.k అమలు. మీరు వ్యక్తి చేయగలరు వద్దు మీ వెబ్ సైట్ లో కోడ్ అమలు. 

కానీ. Jpeg పాస్ అనుమతిస్తుంది. ఆలోచన మీరు నిజంగా మీరు ఏమి ఉంది ఫైళ్లు, A. కానీ, OK, పడుతుంది లేము మీరు నిజంగా చేయాలనుకుంటున్నారా నిర్ధారించుకోండి ఉంది మీరు మొత్తం ప్రపంచవ్యాప్తంగా చదవండి. మరియు ఏమీ లేదు. అది php. ఏ. Php ఉంది మొత్తం ఫైల్ పేరు. 

ప్రేక్షకులు: మీరు చేయగలిగే చాలు. jpeg ముగింపు. సర్వర్లు ఇప్పటికీ కోడ్ అమలు. 

LUCIANO అరాంగో: నీకొదేమను రెడీ ప్రారంభంలో అమలు. మీరు తిరిగి వెళ్లి ప్రయత్నించండి మీకు చూడటానికి - 

ప్రేక్షకులు: మేము కలిగి - OK, కూడుకుని మరొక సెట్ - 

LUCIANO అరాంగో: అవును. 

ప్రేక్షకులు: OK. 

LUCIANO అరాంగో: అవును. OK. ఏదైనా ఇతర ప్రశ్నలు? OK. నేను ఈ వదిలివేయడానికి క్రమం వెళుతున్న యొక్క మీరు అబ్బాయిలు లేదో చూడటానికి ప్రయత్నించండి - ఇతర వాటిని కొద్దిగా ఎక్కువ వారు చాలా అవసరం క్లిష్టమైన ఎందుకంటే కంటే SQL మరింత జ్ఞానం కేవలం వెబ్ SQL ప్రారంభం జ్ఞానం మరియు ఏ జావాస్క్రిప్ట్ ఉంది. కానీ నేను, చార్మి ప్రయత్నించండి వెళుతున్న మరియు ఆశాజనక మీరు అబ్బాయిలు నేర్చుకుంటారు ఈ గురించి మరియు ఒక పరికించండి ప్రయత్నించండి మీరు చేయవచ్చు మరియు ఎన్ని ఉదాహరణలు మీరు ద్వారా పొందవచ్చు. 

ఎవరైనా ఇతర కలిగి దాని గురించి ప్రశ్నలు? కొనసాగి. అవును, షూట్, షూట్. అవును, ముందుకు. కొనసాగి. 

ప్రేక్షకులు: OK. నేను గురించి విని ఎలా మేజిక్ వ్యాఖ్యలు తగినంత సురక్షితంగాలేని. 

LUCIANO అరాంగో: ఏమిటి - మేజిక్ కోట్స్? 

ప్రేక్షకులు: అవును. కనుక ఇది జతచేస్తుంది - అలా చేసినప్పుడు మీరు ఇన్పుట్ ఏదో, ఇది ఎల్లప్పుడూ కోట్స్ జతచేస్తుంది. 

LUCIANO అరాంగో: అవును. అవును. OK. 

ప్రేక్షకులు: మరియు నేను అయితే, పని కానీ అప్పుడు నేను దానిని శోధించిన. మరియు అది మంచి కాదు అన్నారు. కానీ నేను ఎందుకు ఖచ్చితంగా తెలియదు. 

LUCIANO అరాంగో: అవును. 

ప్రేక్షకులు: మేజిక్ కోట్స్ ఉపయోగించకండి ఇది సురక్షిత కాదు ఎందుకంటే. 

LUCIANO అరాంగో: OK. మీరు SQL ప్రవేశపెట్టగానే కాబట్టి మేజిక్ కోట్స్ ఉంది మరియు అది ఇప్పటికే మీరు కోసం కోట్ జతచేస్తుంది. 

ప్రేక్షకులు: ఇది ఎల్లప్పుడూ కోట్స్ జతచేస్తుంది మీరు సైన్ ఉంచారు ఏ చుట్టూ 

LUCIANO అరాంగో: అవును. కాబట్టి ఆ సమస్య ఉంది - నేను పరిశీలించి చేస్తాము - 

ప్రేక్షకులు: ఎలా కొనుగోలు లేదు SQL ప్రకటన? లేదా నేను ఉంటుంది అంచనా వంటి కోట్ ఎంచుకోండి. 

LUCIANO అరాంగో: అవును, మీరు అవసరం SQL కోసం మంచి కోట్స్. 

ప్రేక్షకులు: No, కానీ సర్వర్ మీరు అది. 

LUCIANO అరాంగో: ఈ చిన్న కోట్లు ఇక్కడే, ఈ చిన్న కోట్లు? 

ప్రేక్షకులు: అవును. 

LUCIANO అరాంగో: అవును. సమస్య మీరు ఆ గత బయటకు వ్యాఖ్య - OK, నేను ఏమి ఉంది నేను వ్యాఖ్యానించవచ్చు అవుట్ - కాబట్టి యొక్క పరిశీలించి అనుమతిస్తాయి - నాకు వీలు ఒక టెక్స్ట్ మార్చు ఫైల్ను తెరవడం. నాకు ఈ సవరించనీయండి ఇక్కడే నేరుగా. OK. మీరు అబ్బాయిలు స్పష్టంగా చూడగలరు? నేను చేయవచ్చు నేను వ్యాఖ్యానించవచ్చు ఉంది గత ఒకటి. ఈ చివరి బయటకు మాట్లాడుతుంటారు. ఆపై నేను చాలు, ఇక్కడ ఒక ఉంచుతాము ఇక్కడ అన్ని హానికరమైన అంశాలను. 

యూజర్ నిజానికి కుడి, ఇవ్వడం? యూజర్ ఇవ్వడం కాదు విషయాలు, కుడి? ఈ నేను ఇన్పుట్ వెళుతున్న ఏమిటి లోపల పొందుటకు ప్రయత్నిస్తున్న వ్యక్తి. నేను ఉంచారు వెళుతున్న - ఒక కొటేషన్ చిహ్నం ఉంది. ఇది పొరపాటున కేవలం squiggly ఉంది. మరియు తర్వాత కోడ్ చేయబోవడం - క్షమించాలి, నేను చేద్దామని వెళుతున్న. ఏ కోడ్ చేయబోవడం ఉంది అది మొదటి జోడించండి వెళుతున్న కొటేషన్ ఇక్కడ సూచిస్తుంది. మరియు అది గత జోడించండి వెళుతున్న కొటేషన్ చిహ్నం అలాగే. 

మరియు అది కూడా జోడించడానికి జరగబోతోంది గత, గత కొటేషన్ చిహ్నం. కానీ నేను ఈ కొటేషన్ పిస్తుంది కదా మార్క్స్, కాబట్టి వారు అమలు లేదు. మరియు నేను ఈ కొటేషన్ పూర్తి వెబ్ ఇక్కడ పైగా గుర్తించండి. ఎంత బాగుండేదో మీరు పోయాయా? నేను గత కొటేషన్ వ్యాఖ్యానించవచ్చు మార్క్, మరియు యొక్క శ్రద్ధ వహించడానికి మొదటి కొటేషన్ చిహ్నం. 

ప్రేక్షకులు: కేవలం ముగింపు మొదటి. 

LUCIANO అరాంగో: అవును. మరియు కేవలం మొదటి ఒక పూర్తి. అవును, అది నిజం. పిల్లలంతా ఏమిటి. అవును. ఆ వంటి ఏదైనా ఇతర ప్రశ్నలు? ఒక గొప్ప ప్రశ్న. అవును, బహుశా. ఆశాజనక, మీరు అబ్బాయిలు విధమైన చేస్తుంది మీరు SQL మరియు అధ్యయనం చేసినప్పుడు మరింత అర్థవంతంగా ఆ వంటి విషయాలు. కానీ మీరు నిర్ధారించుకోండి - వాచ్ లో ఈ టూల్స్ ఉంచేందుకు. క్షమించాలి, ఇక్కడ ఈ టూల్స్. ఈ టూల్స్ గొప్ప ఉన్నాయి. ఎవరైనా ఏదైనా ప్రశ్నలు ఉంటే, మీరు కూడా నాకు ఇమెయిల్ చేయవచ్చు. ఈ నా సాధారణ ఇమెయిల్. మరియు ఈ నా పని ఇమెయిల్ ఇది నేను వెచ్చని వద్ద పని చేసినప్పుడు ఉంది. 

సరే, ధన్యవాదాలు. ధన్యవాదాలు, అబ్బాయిలు. మీరు అన్నిటికి. మీరు ఇక్కడ ఉండాలని లేదు. చప్పట్లు లేదు. ఆ అదృష్టము అనిపిస్తుంది. సరే, ధన్యవాదాలు, అబ్బాయిలు.