Il problema è mal posto.

CGI.pm è un modulo che consente la manipolazione più semplice delle varie operazioni CGI. Il filtraggio degli input è a carico del programmatore. Non so di funzioni automatizzate tipo alcune esistenti in PHP, ma non ne sento la mancanza.

Per capirci, se non hai necessità particolari ti basta fare:

die "Errore caratteri non ammessi nella query" if ($q->param('offset') !~ /[a-zA-Z0-9_ -]+/);

ed eviti qualunque possibile carattere maligno.