Quote

Aber wer benutzt DBI->quote()? Wer mal gesehen hats was PHPler murksen, weiß dass quote schlecht funktioniert.

Es funktioniert einwandfrei, wenn diese Methode nicht als Klassenmethode sondern über die Instanz aufgerufen wird. Wenn prepared Statemants zum Einsatz kommen, wird implizit quote() genutzt (das steht irgendwo in den Sourcen). Auch hier kommt die Instanz (DBHandle) ins Spiel, womit $DBH->quote() dem DB-Engine-Layer entsprechend maskiert. DBI->quote() als Aufruf über die Klasse ist Unfug.

Praxisnah: Ggf. ist ein multiple Insert effizienter als ein prepared Statement. Multiple Insert ist ein Fall für quote().

quote_identifier() maskiert Feldnamen, Tabellennamen, also die Bezeichner und das setze ich immer dann ein, wenn Bezeichner nicht fest im Code verdrahtet sind sondern bspw. von außen her konfigurierbar sind.

CGI: Wie ein Enctype="application/x-www-form-urlencoded" oder "multipart/form-data" auszusehen hat, steht in uralten RFCs. Wer CGI.pm nicht mag, darf sich gerne einen eigenen Parser schreiben. Für den richtigen Umgang mit Schlüsselparametern und Parameter-Kontrollstrukturen ist das völlig belanglos, solange der Parser RFC-gerecht programmiert ist, was im CGI.pm mit Sicherheit der Fall ist.