La mayoría de las ideas de esta sección parece obvia, pero conviene recordarlas.
Problamente los nombres de los ficheros codificados en los programas CGI son seguros, pero los nombres obtenidos de los formularios, de PATH_INFO por ejemplo, son sospechosos y hay que comprobarlos. Algunas veces es práctico mantener una lista de nombres válidos que eviten considerar, por ejemplo, como inválido cualquier nombre que comience por '/'.
Si se han de crear ficheros, nunca ha de permitirse que comiencen por '.' ni por ';'. También será una buena idea mantener una lista de caractéres válidos para formar los nombres de los ficheros.
La máscara UMASK por defecto de muchos servidores Web es 0, por lo que cualquier fichero creado por un script CGI podrá ser escrito por cualquiera. La máscara UMASK debe ser puesta a 022 o a 077.