Servus,

Nur hat eben die Bedingung aus der magic-DAtei, dass die ersten vier Bytes PK[ETX][EOT] lauten, nichts damit zu tun, ob es eine sinnvolle Zip-Datei ist. Ich nehme einmal an, dass mime_content_type() und file eine Datei mit dem Inhalt PKbla als ZIP-Datei klassifizieren.

jo, da hast Du wohl schon recht. File prüft natürlich nur die Bedingungen in der Magic-Datei. Ob die Datei sinnvoll ist, kann man so sicherlich nicht erkennen.

Will man sicher gehen, dass eine Datei auch einen sinnvollen Inhalt hat, muss man sie stellenweise sehr aufwändig prüfen. Bei einer ZIP-Datei kann man z.B. das Archiv verifizieren lassen, bei einer JPEG-Datei könnte man versuchen die Bildgröße zu ermitteln. Um den Webserver zu schützen muss man auch dafür sorgen, dass die Dateiendung stimmt bzw. im Upload-Verzeichnis keine Skripte ausgeführt werden.

viele Grüße
  Achim Schrepfer