Zu 1 :
Was du jetzt genau willst habe ich leider nicht verstanden. Was ich aber dazu zu sagen habe ist, dass ein Uplad von html bzw php definitiv ein hohes Risiko birgt.
Ausserdem finde ich, dass White-Lists für einen Datei-Upload die einzig wirklich akzeptable Lösung sind, da es schwer ist eine wirklich komplette Black-List zu erstellen (ausserdem geht es mit einer White-List schneller ;) )
- wie (un)sicher ist es, die Möglichkeit anzubieten, ein zip-Archiv hochladen zu lassen, welches dann entpackt wird und die Datein verarbeitet werden. Wie schwer ist es, soetwas zu realisieren?
Hmm es kann sehr unsicher sein, wenn du die Inhalte des Archives nicht prüfst. Am besten nimmst du dir eine White-List mit der du die Inhalte prüfst und nur die Dateien zulässt die du auch tatsächlich auf dem Server haben willst.
Besonders schwer wird das ganze nicht sein.
Gruß
Moe