Falha simples no SQL de sites famosos

Demos exemplos, já corrigido,s do site da Sadia, empresa conceituada no ramo alimentício, hospedada no dominio www.sadia.com.br e da Redinteligente Le Postiche.

Ambos os sites armazenam dados em um banco de dados MYSQL (www.mysql.org) rodando sob a plataforma LINUX.

O termo SQL_INJECTION surgiu a algum tempo para designar vulnerabilidades em sites rodando em asp ou php, em que se podiam obter acesso aos bancos de dados, sem login e sem senha, através de strings sql passadas diretamente pelo browser ao servidor sql.

Introduzimos no campo login e senha a string ' or ''='. Esta string significa que dentro das haspas simples tudo o que existe são parametros e o sql entende como tal. Outras strings podem ser tentadas.

No site da Microsoft Brasil existe uma área destinada a " apresentar às corporações das mais diversas categorias de mercado, um conjunto de soluções que lhes imprimam maior produtividade, atualização em tecnologia e vantagens nos negócios.". Palavras do próprio site.

O endereço é https://www.microsoft.com.br/diretorio/home.asp.

E que a falha aqui se deve por erros no source code do próprio site. Isto é, o programador desavisado ou desatualizado, permitiu que simbolos como ", ' ~, : {, / pudessem ser introduzidos nos campos login e senha sem nenhuma restrição.

Como corrigir o erro??? Restringir campos quanto a introdução de simbolos que possam passar parametros ao sql.

Atualizacoes de patchs de segurança, correções, análise do source code do site. Estas atitudes diminuem a possibilidade de falhas de segurança em sistemas.

Este site contem uma brecha de segurança capaz de causar prejuizos enormes. Ataques de engenharia social. Captura de dados sigilosos. Cabe ao administrador de segurança barrar a introdução de simbolos que possam passar parametros ao sql. Atualizar o sistema por hierarquias de usuario tambem seria uma opcão.