Hello Susi,

jetzt sind es schon fast 3 Wochen wo wir uns zuletzt gehört haben

Ich habe Eure Aufgabe, die auch ein Dutzend andere Leute interessieren dürfte in der von mir geplanten Ausbaustufe, immer dabei. Nachts liegt sie sogar unter meinem Kopfkissen, damit ich sie bloß nicht vergesse zu lösen. ;-)

und wir haben uns mal ein wenig mit der MIME-Typ-Prüfung beschäftigt oder besser gesagt, darüber versucht zu recherchieren. Leider verstehen wir immer noch Bahnhof aber ich habe da eine Vermutung was Du da machst! Könnte es sein das diese Überprüfung in das Bild etc. reingeht und dort den Code ausliest und bei verdächtigten Befehlen den Upload nicht von statten gehen lässt? Lass uns bitte nicht dumm sterben und erkläre uns das was diese Überprüfung da genau macht mit wenigen Worten für php nicht begabte! ;-)

So ungefähr ist das schon das, was da stattfindet.

Bei Bildern ist es noch relativ einfach, da die von PHP zur Verfügung gestellte Funktion "getimagesize()" bisher keine mir bekannten Fehler in Richtung Sicherheitslücke gemacht hat. Wenn sie ein Bildformat nicht erkennt, dann gibt sie false zurück.

Aber sie erkennt selbstverständlich weder *.doc noch *.flv. Da muss man eben die MIME-Prüfung durchführen. Die MIME-Prüfung _ohne_ den Befehl "file", den es übrigens auch für Windows gibt, durchzuführen, also selber zu programmieren, haben schon Viele versucht. Ich habe bisher in allen Ansätzen Fehler gefunden, muss aber auch zugeben, dass ich es aufgrund des vorliegenden Materials (Magic.Mime-File) nicht besser machen kann. Es gibt auch eine fast gute Variante in PHP, die wollte ich eigentlich benutzen, aber inzwischen habe ich schon soviele Fehler darin entdeckt, dass ich das verworfen habe.

Wenn Ihr aber kein exec() auf Eurem Host ausführen dürft, dann ist nur eine PHP-Variante möglich.

Den übrigen Rahmen mit einer konfigurierbaren User/Group-Typ-ZielVerzeichnis-MaxGröße Verwaltung habe ich fertig. Das ist Standard...

Ein harzliches Glückauf

Tom vom Berg