Chapuza en la web de Oficinadirecta

Hace unos dias me encontré con una de las chapuzas mas grandes que he visto en una aplicación web y lo peor es que se trataba de la web operativa de mi banco.

Situación: realizar una transferencia nacional en oficinadirecta.com. El titular destinatario es una empresa cuyo nombre contiene la palabra "SELECT".

Resultado: No deja realizar la transferencia por "nombre del titular no valido". Esa es toda la informacion de la web. Ninguna indicacion más.

Solucion: despues de mucho probar quite la palabra SELECT del nombre del titular y ya se pudo realizar la transferencia.

Causa del problema: seguramente los programadores web de oficinadirecta no dejan que uno de los campos contenga una palabra reservada del lenguaje SQL, en este caso "SELECT", que se usan normalmente para acceder a la base de datos del banco mediante "queries" SQL via aplicacion web.

Es una web realmente chapucera. Aunque la verdad es que las webs de los bancos que he utilizado dejan bastante que desear. De todas formas, es la manera más burda que he visto de evitar SQL Injection.