hi!

Wie sicher ist nun CGI?

CGI selbst ist sicher genug, Problem sind Bugs oder unbewusste
Sicherheitslücken in CGI-Skripten. Siehe dazu:
  http://www.xwolf.com/artikel/cgisec.shtml

Wo sind die Lücken?

Dazu müsste einiges im obigen Artikel stehen. Probleme kann es zum
Beispiel geben, wenn Eingaben des Benutzers ungeprüft an irgendwelche
Systemaufrufe weitergegeben werden, u.ä.

Wieviel muss man können, um ein Script zu erstellen, der zu
99,999% sicher ist, also so sicher, dass man auch
Kreditkartennummern übergeben kann?

Das hat nichts damit zu tun! Bei Kreditkarten-Nummern oder anderen
sensiblen Informationen sollte man auf eine verschlüsselte Übertragung
setzen, das HTTPS-Protokoll. CGI-Skript lassen sich sowohl über
verschlüsselte als auch unverschlüsselte Verbindungen gleichermaßen
einsetzen.

bye, Frank!