- möchte ich die Dateien nicht so gerne auf ihre Endung prüfen. Eine Blacklist wäre ziemlich unsicher und eine Whitelist schränkt zu sehr ein. Vor allem, wenn in Zukunft auch noch andere Dateien außer Bildern hochgeladen werden. Ich suche daher nach einem Weg, ein paar ausgewählte Dateitypen (.jpg .gif .png usw.) je nach Einstellung im Browser direkt anzeigen zu lassen, aber bei allen anderen Dateien den Download zu erzwingen. So können z.B. .php und .html Dateien hochgeladen werden, ohne dass damit Schaden angerichtet werden kann. Kann man das ganze für Verzeichnisse mittels .htaccess oder ähnlich lösen?
Eine Datei auf ihre Endung zu prüfen macht auch wenig Sinn. Am besten du siehst dir den Mimie-Typen deiner Datei an. Dieser findet sich ohnehin in $_FILES['name']['type'] - sofern als image/jpeg, image/gif oder image/png enthalten sein sollen, kannst du das bereits hier überprüfen.
Ähnlich verhält es sich mit allen anderen Dateien. Das reien Ablegen von hochgeladenen Dateien halte ich für unbedenklich. Ich würde mir eine extra Datei schreiben, die mir die abgelegten Dateien ausliest und sie sozusagen zu Downloadzwecken "imitiert".
- wie (un)sicher ist es, die Möglichkeit anzubieten, ein zip-Archiv hochladen zu lassen, welches dann entpackt wird und die Datein verarbeitet werden. Wie schwer ist es, soetwas zu realisieren?
Halte ich für unbedenklich. Bin allerdings auch kein Spezialist. Wie schwer es zu realisieren ist, hängt von deinen Vorkentnissen ab. Da gibt es aber fertige Klassen.