Hallo,

Wie geht denn sonst der Trick: man lädt statt dem Bild die "schadcode.php" hoch und versucht dann, sie mit "example.com/bilder/schadcode.php" direkt zu aktivieren?

genau das könnte man tun, wenn keine Vorkehrungen getroffen werden. Wenn du nur mit getimagesize() prüfst, könnten jedoch *ausschließlich* Bilddateien hochgeladen werden. Wenn das für den Zweck genügt, okay.

Ansonsten würde ich noch radikaler vorgehen und in dem Verzeichnis, in dem die hochgeladenen Dateien schließlich landen, kein PHP ausführen - z.B. mit einer .htaccess-Datei mit der Direktive

AddType text/html .php

Eventuell, je nach Grundkonfiguration des Servers, dasselbe noch für die Extensions .php3, .php4 und .php5, fertig.

Ciao,
 Martin