Quote

Ich hätte da jetzt noch eine Frage dazu, heißt das nun dass Perl mit DBI für SQL Injection nicht sicher ist??

Wer behauptet denn sowas? Perl hat sogar 2 Funktionen zum Quoten die explizit aufgerufen werden können, sowas hat PHP nicht.

Wenn Du in Perl mit prepared Statements arbeitest, werden diese Funktionen implizit aufgerufen, was SQL Injektionen verhindert. Und was in Perl auch geht: Platzhalter in Funktionen die über den $dbh aufgerufen werden, auch da wird implizit gequoted.

Die eigentliche Zweckbestimmung für prepared Statements ist jedoch eine Andere nämlich die Performance.

MFG

Steh alles in der Doku, man muss sich einfach mal richti damit befassen.