seite 9 (Server enumeration - List) ist schonmal falsch. da wird behauptet, "Perl CGI/Apache" könne keine multiplen parameter einlesen (bei mod_perl ging es aber angeblich). quatsch. es geht bei beiden.

die beispiele, dass bei multiplen parametern der wert zu einer arrayref wird, ist nur relevant für php beispielsweise. bei CGI.pm kriegt man, wenn man nur einen wert erwartet, nur einen davon wieder (im skalaren kontext eben). das alte $cgi->Vars sollte man eh nicht benutzen.

die meisten der genannten lücken entstehen mit ordentlichem url- und html-escaping und sql-bind-parametern erst gar nicht.