Hello,

da sind mir gleich so viele Dinge aufgefallen, dass ich 90% schon weider vergessen habe. Ich versuchs trotzdem mal:

1. Überarbeite das Script mit "register_globals = off".

2. benutze wenigstens das Filearray $_FILES

3. kontrolliere, was man Dir da hochlädt.
   mit get_imagesize()
   http://de3.php.net/manual/de/function.getimagesize.php
   stellt PHP huier schon ein mächtiges Werkzeug zur Verfügung
   Wichtig sind der Filetyp den DIE FUNKTION liefert und die
   Dateieindung. Beides sollte der Wahrheit entsprechen, wenn Du nicht
   verkappte *.php oder *.exe oder Unix-ausführbare Dateien o.ä.
   auf den Server haben willst

4. Der Pfad zu den Bildern gehört nicht in die Bildtabelle derDB.
   Der gehört in die Konstantendefinitionsdatei des jeweiligen Projektes,
   wenn er für alle Bilder dieser DB gleich ist, oder aber in eine
   separate Tabelle, sollte es z.B. Bildklassen geben, die jeweils
   eigene Verzeichnisse haben

5. Schreib den Bildnamen des Users mit in die Tabelle
   vergib zusätzlich einen Fantasienamen: "B_".$zufallstring
   http://de3.php.net/manual/de/function.srand.php
   Du ersparst Dir aufwändige Zugriffskontrollen auf das Bildverzeichnis,
   wenn Du später in die Image-Tags für alle "öffentlichen Bilder" nur
   diese Bild-ID einbindest.

Unter dieser ID werden die Bilder dann abgelegt, und es wird sehr
   mühselig sein, das Verzeichnis danach zu grabben. Die "Sicherheit"
   steigt exponentiiell mit der länge Deines Unique-Strings

Es empfiehlt sich ggf. auch, unter ähnlichem Namen die passenden Thumbs generieren zu lassen. "M_".$zufallsstring

Man kann dann das Verzeichnis mit einem Script danach absuchen und hat eine schöne Übersicht.

Liebe Grüße aus http://www.braunschweig.de

Tom