Quindi passando un parametro "cattivo" potrei teoricamente leggere tutto sul computer. VVoVe:

Se filtro il my $file = $q->param('file'); che contenga solo certi caratteri potrei essere ragionevolmente sicuro...

Perl mi piace un casino per semplicità e quantità di funzioni ma credo che mi devo studiare un pò di sicurezza.