Ich will nicht paranoid sein, aber eben auch nicht offen wie ein Scheunentor.

Das Problem ist nicht das CGI Modul, das empfängt die Daten so wie sie gesendet werden und das ist auch gut so. Was damit passiert ist dann deine Entscheidung. Allgemein ist es ratsam keine CGI Eingaben ungeprüft irgendwo zu verwenden. Für das DBI Modul bieten sich "Placeholders and Bind Values" an.

Struppi.