Moin!

Wenn ich auf Serverseite mit $_FILES den Mime-Type abfrage, bekomme ich besagten "octet-stream"...

Und wenn der Browser den Mime-Typ des hochzuladenden Bildes nicht kennt, trägt er da eben genau das ein. Bzw. wenn jemand dir unbedingt böse, manipulierte Bilder unterschieben will (wer weiß, was man da reinpacken kann), dann schreibt er als Mime-Typ eben irgendeinen passenden String rein.

Diese Angabe zur Grundlage zu machen, welcher Bildtyp hochgeladen wurde, ist fahrlässig. Weil der Browser das mutmaßlich nur nach der Dateiendung entscheidet - er schaut aber nicht, ob die Datei tatsächlich das angegebene Dateiformat enthält.

Benenne ich ein TIFF-Bild als ".jpg" um, ist es zwar immer noch ein TIFF-Bild, aber der Browser wird es als "image/jpeg" übertragen. Wenn du dann falsch reagierst, ist das schlecht.

- Sven Rautenberg