Tom: GEFAHR

Beitrag lesen

Hello Roebert,

Und dann bitte darauf achten, dass man sich nicht ausführbare Scripte einfängt.
Wenn z.B. nur Bilder hichgeladen werden sollen, hilft getimagesize()

oder den MIME-Type überprüfen

//Bsp: es dürfen bloß Text-Dateien hochgeladen werden
if ($_FILES['datei']['type'] == "text/plain")
{
   do_something()
}

Nein, das ist leider falsch und daher ebenfalls sehr gefährlich für den Server.
$_FILES['datei']['type'] kommt vom Client, ist also beliebig fälschbar.

Die einzige Möglichkeit, den MIME-Type zu überprüfen, ist durch Einsichtnahme in die Datei auf dem Server. Leider ist die Funktion mime_content_type() http://de2.php.net/manual/de/function.mime-content-type.php nicht länger (...) Bestandteil des Standardumfanges von PHP. Um die Prüfung mir einer gleichwertigen oder besseren Funktion kommt man aber beim Upload nicht herum, wenn einem sein Server lieb ist.

Harzliche Grüße vom Berg
http://bergpost.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Ein Jammer ist auch, dass die Dummen so selbstsicher und die Klugen voller Zweifel sind. Das sollte uns häufiger zweifeln lassen :-)