Kleiner Nachtrag:

Ich habe noch eine interessante Sicherheitslücke vergessen: Wenn ich dem Attachment-Script als Parameter einen Pfad angebe, der '..' enthält, komme ich damit ebenfalls aus dem aktuellen Verzeichnis heraus nach oben. Ich denke, mit einem Alias auf Apache-Ebene kämst du relativ sicher davon, d.h. die Anhänge liegen einfach irgendwo anders und per Alias packst du die Dinger unter /news-letter-anhaenge/ oder so. Dann braucht du kein (potenziell unsicheres) PHP-Script dafür und irgendwelche Pfade zu prüfen, dann macht nämlich der Apache die Arbeit für dich.

Frohe Ostern, Robert