auch wenn das sql-statement als POST uebergeben wird, kann es der benutzer herausfinden, indem er sich z.B. den HTML-Code ansieht, es veraendern und erneut abfeuern (z.B. mit LWP::UserAgent)...
der benutzer kann das statement also beliebig veraendern, und damit auch auf alle spalten zugreifen, die der sql-benutzer lesen darf. wenn der sql-benutzer auch noch das recht zum update oder delete hat, kann er dann die komplette datenbank verstuemmeln, wenn er es will... und ein sql-statement auf erlaubtheit zu parsen ist doch ein wenig arbeit...
eine sessionId kannst du dir auch recht einfach selbst generieren... z.B. join("", time, $$, int(rand(4000))), und die dann einfach uebergeben. aber cgi::session ist schon ein recht nettes modul...\n\n
<!--EDIT|Strat|1111745708-->