Hi,

Übrigens habe ich festgestellt, daß eine Datei wie test.php.xxx unter meiner normalen xampp-Installation ausgeführt wird!?

Da könnte content-negotiation dran schuld sein.
(und es ist ein Zeichen dafür, daß praktisch JEDE Endung "gefährlich" sein kann, wie bereits erwähnt ...)

Nein, ist es nicht.
Ich habe das mal eingehender getestet und der Apache gewährt auf jegliche Dateien mit ".cgi." sowie ".pl." mitten im Dateinamen keinen Zugriff - auch wenn ich eine reine Text-Datei als "test.pl.txt" speichere.
Das bedeutet, daß ich diese Zeichenketten aus dem Namen entfernen oder ersetzen muß, da die Uploads ja sonst nicht verfügbar sind.

freundliche Grüße
Ingo