$myparam1 = CGI::escapeHTML(param('par1'));

Es kommt ganz darauf an, was du mit dem Wert machen willst.
Wenn du ihn in eine Datenbank schreiben willst musst du andere Zeichen maskieren als wenn du ihn auf der Seite anzeigen willst.

Ich will den Wert anzeigen.