Der Zugriff auf SQL-Datenbanken ist aus IT-Sicherheitssicht genau zu betrachten. Geligt es einem Aussenstehenden SQL-Statements zu manipulieren, so ist der gesamte Datenbestand der Applikation gefährdet. Um dies zu verhindern bieten SQL-Datenbanken die Möglichkeit Benutzereingaben als so genannte Bind-Variablen an die Datenbank zu übergeben. Diese werden von der Datenbank so interpretiert, als dass sie keinesfalls die eigentliche SQL-Abfrage verändern können sondern nur als Inhalte einer Spalte angesehen werden.
Es ist daher beim Entwicklen von DLE-Bricks mit SQL-Kommandos ein besonderes Augenmerk darauf zu richten, dass auch an diesen Stellen der DLE kundgemacht wird, welche DLE-Felder als Bind-Variablen an die Datenbank zu übermitteln sind.
Bis zur Version 2.0.8.028 wurden Bind Variablen folgendermaßen genutzt:SELECT * FROM DLEUSER WHERE NAME=:$LOCAL:username
Es musste der interne Feldname der DLE mit einem vorangestellten :$ im SQL-Statement als Text angegeben werden. Dadurch wurde das Feld separat an die Datenbank übergeben.
Ab Version 2.0.8.028 ist es nun möglich Felder mit einer Formattierung anzugeben.
