Und was greifst du noch auf $ENV{} zurück? - CGI soll genau dies
unterbinden.

auf den $ENV{'HTTP_REFERER'}

http://www.oreilly.de/catalog/perlmodger/manpage/cgi.htm#FETCHING_ENVIRONMENT_VARIABLES

!$ENV{CONTENT_LENGTH} geht doch auch ?!

Das prüft, bzw. ist wahr, wenn der Wert:

* undefiniert
* 0
* ein Leerstring

ist.

Ein Vergleich mit einem undefinierten Wert führt aber zu der von dir erhaltenen Fehlermeldung.

nö kleiner als 100 zeichen erlaubt.Es handelt sich um ein login script mit
begrentzten zeichen für username und passwort.

warum prüfst du dann nicht die Länge dieser beiden Variabeln?

Struppi.