Vulnerabilidade crítica de injeção SQL expõe sistema de backup em arquivo config_funcoes.php

Uma análise de código-fonte revelou uma falha de segurança crítica no arquivo `html/configuracao/config_funcoes.php`. A função `loadBackupDB` está vulnerável a ataques de injeção de SQL, permitindo que um invasor manipule o parâmetro `$file` para injetar comandos maliciosos diretamente no banco de dados. A ausência de validação ou uso de prepared statements transforma uma operação de rotina de restauração de backup em uma porta de entrada potencial para comprometimento total do sistema.

A vulnerabilidade reside na construção direta de comandos SQL usando a entrada do usuário sem sanitização. Além disso, o código carece de tratamento adequado de erros para comandos de shell, o que pode levar a falhas silenciosas durante operações críticas de backup e restauração. Práticas de codificação inadequadas, como a definição redundante de constantes dentro das funções, também foram identificadas, indicando uma base de código que pode conter outras falhas estruturais de segurança.

Esta exposição representa um risco operacional significativo para qualquer sistema que utilize este arquivo. A falta de mitigação básica contra injeção SQL deixa os dados do banco de dados abertos a exfiltração, corrupção ou exclusão. A correção imediata, através da implementação de prepared statements e da revisão completa do fluxo de tratamento de erros, é imperativa para fechar esta brecha de alto impacto.