Mit folgender Anweisung lässt sich Code bei uns einschleusen:
https://www.example.de/cgi-bin/login.pl?step1=1&step=1&LoginType=%22%3E%
3CSCRIPT%3Ealert%28%22XSS%22%29%3B%3C%2FSCRIPT%3E

Nun muss ich irgendwie die GET/POST Parameter "bereinigen".

Naja, du musst dort Bereinigen wo das Problem auftritt. Was darf der Wert LoginType enthalten? Alles andere fliegt raus.

Ich hole mir die Parameter mit folgender Anweisung:

$cgi = new CGI();

@usrData = $cgi->param();

  
Das ist eigentlich Unsinn, da du bereits vorhandene Daten kopierst, also der komplette Input ist jetzt doppelt vorhanden.  
  

> Wie nun soll ich weiter vorgehen um ein Sinnvolles Ergebnis zu erhalten?  
> RegExp?  
  
Jede Eingabe, die von aussen kommt, prüfen. Und ungültige Zeichen ersetzen.  
  
Struppi.