Wie soll das gehen....Php kann doch nicht in Files ausserhalb des htdocs schreiben. Das wäre ja ne riesen Sicherheitslücke. Oder seh ich da was falsch?

ja
php wird nicht "auf deinem server" ausgeführt, sondern "auf deinem pc".
und als solches kann es überall hinschreiben und auch dein windows-verzeichnis löschen, wenn du ein script so schreibst, das man ihm solchen code unterjubeln kann.

du kannst mit "exec" *jedes* programm auf deinem rechner starten und wenn es kommandozeilen-parameter kennt, auch steuern.

probier es aus und schau, das du jeden wert, den du von ausserhalb deines rechners bekommst, prüfst, bevor du ihn verwendest.

grüsse, raik