Dreh es doch um: erlaube nur Endungen, bei denen du sicher bist, dass sie ungefährlich sind.

Ja, daran habe ich auch schon gedacht, aber die Liste würde ziemlich lang und Dateiendungen sind nunmal eigentlich nicht wichtig (ausser eben für Apache). D.h. jeder kann eine Dateiendung erfinden und Dateien damit versehen (jedenfalls zB bei Linux Systemen), denjenigen will ich nicht vorm Glück stehen (:
Nein im Ernst, es muss doch möglich sein die Endungen von Skripts aus einer Umgebungsvariable auszulesen!?
Falls dies tatsächlich nicht möglich sein sollte müsste ich jedoch den umgekehrten Weg gehen.

besten Dank,
Gruss Hagis