Hallo!

Was muss ich für sichere Uploads mit PHP aus einem Formular heraus beachten?

Geprüft wird der MIME-Typ. Zusätzlich ist das Uploadverzeichnis durch eine htaccess geschützt, die den Zugriff von überall verbietet. Nun konnte man trotzdem PHP-Skripts und schlimmer noch eine htaccess hochladen, weil text/plain erlaubt ist. Meine Lösung: An das Ende der hochgeladenen Datei wird eine weitere Dateiendung angehängt.

Ist das sicher genug, oder habe ich irgend was vergessen? Sollte der komplette Name der Datei umbenannt werden, damit ein Angreifer nicht weiß, wie die Datei nach dem Upload heißt? Kann ich noch was mit Verzeichnisrechten sichern, oder ist es sogar sinnvoll, den Uploadordner oberhalb des Doc-Root-Verzeichnisses zu legen?