Ataques de SQL Injection normalmente acontecem em sistemas amadores, onde os desenvolvedores (por desconhecimento ou desatenção) não sanitizam as chamadas ao banco de dados, impedindo a inclusão de comandos SQL via adição de código extra. Por exemplo, um simples: SELECT * FROM ‘clientes’ WHERE ‘id’=1 Pode virar um pesadelo simplesmente adicionando um comando extra, através de chamadas GET ou POST: SELECT * FROM ‘clientes’ WHERE ‘id’=1;DROP TABLE ‘usuarios’; Onde o segundo comando apagaria toda a tabela “usuarios”. Ou seja, o truque mais bobo do manual. E é exatamente essa falha que foi explorada no site oficial do MySQL, por incrível que pareça. Da invasão, foram obtidas listas de usuários, com seus e-mails e suas respectivas senhas criptografadas. Tais listas já foram divulgadas pela internet, e algumas até mesmo já foram quebradas, revelando dados curiosos: um diretor do MySQL tinha uma senha com apenas 4 (quatro!) caracteres! A recomendação dos responsáveis pelo site é que, se você tiver uma conta no mysql.com (ou nos espelhos mysql.fr, mysql.de e mysql.it), que acesse o quanto antes e altere a senha atual. Se essa senha for comum para contas em outros sites, faça o mesmo nesses serviços. Com informações: Techie Buzz.
