Πρόσεξε λίγο τί δείχνει το URL που παραθέτεις. Είναι το http://google.com/codesearch?hl=en&start=10&sa=N&q=sa+connectionstring+file:web.config . Η αναζήτηση αυτή γίνεται στο codesearch του google, το οποίο κάνει αναζήτηση σε open source repositories, sample κώδικα κλπ. Αν δεις τα αποτελέσματα του search, κανένα από αυτά δεν είναι σε πραγματικό site. Είναι όλα αρχεία από projects, είτε στο codeplex, είτε στο αντίστοιχο googlecode, είτε στα samples βιβλίων του O'Reily κλπ.

Δεν είναι δυνατόν κάποιο search engine να διαβάσει και να δείξει τα περιεχόμενα του web.config πολύ απλά γιατί ο IIS απαγορεύει την πρόσβαση σε αυτό το αρχείο. Διαφορετικά, ο καθένας θα μπορούσε να το διαβάσει, όχι μόνο τα search engines.

Έτσι κι αλλιώς, είναι πολύ κακή ιδέα να χρησιμοποιείς το sa, και απλά κακή ιδέα να χρησιμοποιείς username/password χωρίς encryption αντί για integrated authentication. Αυτό όμως που περιγράφεις δεν είναι πρόβλημα.