Ich verwende sowieso HTML::Template::Pro und auch HTML::Entities mit encode_entities. Hab das gerade mal getestet und die <> werden wunschgemäß in &lt; und &gt; umgewandelt ;)

Ich meinte eher, wie man Schwachstellen im Script ausnutzen kann um beispielsweise die Abfrage an die Datenbank zu verfälschen und z.B. die Passwort Hashes sich ausgeben zu lassen.