Программируя на Perl, используйте опцию w или "use warnings;" (Perl 5.6.0 или позже), они предупредят вас о потенциальных проблемах, таких как неинициализированные переменные и устаревшие выражения/функции.

Опция T (taint mode) предоставляет более высокий уровень безопасности. Этот режим инициирует различные проверки. Самая важная касается возможного загрязнения (tainting) переменных. Переменная может быть либо чистой, либо грязной. Данные поступившие извне программы считаются грязными до тех пор, пока они не будут очищены. Грязные переменные не могут быть использованы для передачи значений, которые будут использоваться за пределами программы (вызов команд оболочки).

В данном режиме аргументы командной строки, переменные окружения, результаты некоторых системных вызовов (readdir(), readlink(), readdir(), ...) и данные полученные из файлов считаются подозрительными, и поэтому, грязными.

Чтобы очистить переменную вы должны обработать ее регулярным выражением. Очевидно, что использование .* не даст результата. Цель такого подхода - заставить вас заботиться о предоставленных аргументах. Всегда использовать регулярные выражения для этого один из вариантов.

Тем не менее этот режим не обезопасит вас от всех проблем: загрязненность аргументов, переданых system() или exec() через переменную-список, не проверяется. Поэтому вы должны быть очень осторожны, если один из ваших скриптов использует эти функции. Инструкция exec "sh", '-c', $arg; считается безопасной вне зависимости от того грязная или нет переменная $arg :(

Также рекомендуется добавлять "use strict;" в начало своей программы. Это заставит вас объявлять переменные; некоторые люди находят это надоедливым, однако это обязательно, если вы используете mod-perl.

Таким образом CGI скрипт на Perl должен начинаться с:

#!/usr/bin/perl -wT
use strict;
use CGI;

#!/usr/bin/perl -T
use warnings;
use strict;
use CGI;