das mit dem eigenen user mit nur leserechten bringt dich übrigens auch nicht viel weiter. es ist schon ausreichend interessant wenn man per sql-injection beispielsweise das admin-passwort auslesen kann. imho ist die methode, die esskar beschrieben hat, die beste. damit ist man praktisch imun gegen böse sql-geschichten. du kannst dir ausserdem mal module wie DBIx::Class oder Class::DBI anschauen. die quoten automatisch und man muss noch nicht mal mehr sql schreiben :-)