Ich denke nicht, dass Perl den Inhalt im Speicher hält; das wäre eine wunderbare Möglichkeit für DoS.

CGI.pm schreibt temporäre Dateien. Das Modul ist Opensource da kann jeder reingucken wie das da gemacht wird. Was DoS betrifft: Ein Webserver nach CGI/1.1 Standard parst die Header aus dem Socket und legt dieses dann um nach STDOUT so daß nachgelagerte Prozesse den Body aus STDIN lesen lönnen. Gleichzeitig setzt der Webserver eine Umgebungsvariable CONTENT_LENGTH welche die Anzahl der aus STDIN zu lesenden Bytes angibt. Genau hier setzt man an wenn man in einem nachgelagerten Prozess eine DoS vermeiden will. Mit Perl hat das nichts zu tun und auch nicht damit ob ein Message Body im RAM gehalten wird. MFG