$self->{CONTENT} = eval{
    $gegeben = hex($gegeben);   
    $gegeben == $user ? "$user ist Richtig!" : "Falsch! ($gegeben)";
} || "Alles Falsch!";

Du maskierst nicht kontextgerecht,

Was müsste denn maskiert werden?

der Code is anfällig für Cross-site-scripting-Attacken.

Bitte ganz genau begründen! MfG