Hell-O!

wo kann ich denn wohl am schnellsten fündig werden, wie man in PERL und MySQL Injections abfängt, und wie man die Ausgabe HTML-gerecht codiert?

Zur Vermeidung von SQL-Injections stellt dir das Standardmodul DBI eine Methode "quote" zur Verfügung (siehe Database Handle Methods: quote), die m.E. mit mysql_real_escape_string() in PHP verglichen werden könnte.

Weiterhin kannst du Platzhalter verwenden (siehe Placeholders and Bind Values). Wenn du es so machst, darfst du allerdings DBI::quote nicht verwenden, da hier automagisch und kontextabhängig gequoted wird. Soweit ich mich erinnere, wird dieses Verfahren als der Königsweg angesehen, um in Perl Injections zu verhindern.

Zur Frage der allgemeinen Sicherheit findest du so einiges in perlsec.

Tja, und was die Ausgabe als HTML betrifft, kommt es auf die Daten an, wie sie aus der DB kommen (mit/ohne Tags, mit/ohne Entities usw. usf.). Da müsstest du vielleicht mal präziser fragen.

Am liebsten wäre mir eine Gegenüberstellung der Methoden / Funktionen von PERL und PHP, soweit möglich.

Reicht dir der Eintrag SQL Injections aus der(?) englischen Wikipedia aus?

Siechfred