O que é o Ataque 'whatever' OR '1'='1' e Como Proteger o Seu Site
Segurança da Informação
Bruno Ribeiro
30 maio 2025

O que é o Ataque 'whatever' OR '1'='1' e Como Proteger o Seu Site

No mundo da cibersegurança, há expressões que parecem inofensivas à primeira vista, mas que escondem um potencial devastador. Uma delas é 'whatever' OR '1'='1'. Se já ouviste falar de SQL Injection, este é um exemplo clássico de como os hackers exploram falhas em sistemas mal protegidos. Mas o que significa isto, exatamente?

O que é SQL Injection?

SQL (Structured Query Language) é a linguagem usada para gerir bases de dados, como as que guardam os teus dados pessoais num site de compras ou numa rede social. Quando um programador não valida bem as entradas dos utilizadores – por exemplo, o que escreves num campo de login –, um atacante pode "injetar" código malicioso. É aqui que entra o 'whatever' OR '1'='1'.

Imagina que estás num site com um formulário de login. O sistema verifica o teu nome de utilizador e palavra-passe com uma consulta SQL como esta:

 

SELECT * FROM utilizadores WHERE nome = 'joao' AND senha = '12345';

Se introduzires 'whatever' OR '1'='1' no campo do nome, a consulta transforma-se em:

 

SELECT * FROM utilizadores WHERE nome = 'whatever' OR '1'='1' AND senha = '12345';

Ora, '1'='1' é sempre verdade, independentemente do que vem antes ou depois. Resultado? O sistema pode aceitar o login sem verificar a senha corretamente, dando acesso ao atacante.

Porquê "whatever"?

O "whatever" aqui é apenas um placeholder – podia ser qualquer palavra ou até nada. O truque está no OR '1'='1', que força a condição a ser sempre verdadeira. Um hacker pode usar isto para entrar numa conta, apagar dados ou até roubar informações sensíveis, como emails e números de cartão de crédito.

Como nos protegemos?

Para evitar este tipo de ataque, os programadores precisam de:

  • Usar prepared statements ou parametrização, que separam os dados do código SQL.
  • Validar e limpar todas as entradas dos utilizadores.
  • Limitar os privilégios das bases de dados, para que um ataque cause menos estragos.

Um problema real

Em Portugal, como em qualquer país, empresas e serviços online estão vulneráveis se não seguirem boas práticas. Já imaginaste o caos se um site de uma loja online ou de um serviço público fosse comprometido por algo tão simples como 'whatever' OR '1'='1'? É por isso que a cibersegurança é tão crucial nos dias de hoje.

No fundo, este ataque mostra como algo aparentemente trivial pode abrir portas perigosas. Da próxima vez que vires um formulário online, lembra-te: por trás de um "tanto faz", pode estar um mundo de problemas – ou de soluções, se soubermos defender-nos.

Isto respondeu à sua dúvida?

Bruno Ribeiro
Bruno Ribeiro Estamos preparados para ajudar e buscar soluções para os seus problemas. Somos dedicados e amamos o que fazemos.😉
Advertising:
Sponsorship: