Hello,

danke für deine Antwort.
Die einzige Möglichkeit für einen solche Upload müsste eine "krasse" Sicherheitslücke sein, wenn der Uploader etwa so aussieht:

--- DOOFES BEISPIEL! --
<form enctype="multipart/form-data" action="smp.html?dir=userupload" method="post">

Und der Entwickler dann $_GET['userdir']; voll vertraut. Oder hast du noch andere Erfarungen gemacht?

Ja.
Es wird (4.) serienmäßig unter dem übermittelten Namen der lokalen Datei abgespeichert und das

(5.) in einem per HTTP zugänglichen Pfad

Dann ist es kaum noch schwierig, die Ressource auch aktiv zum machen. Das hängt jedoch von der verwendeten Distribution nebst OS ab, denn jede hat andere Eigenheiten. Die meisten konnte ich bei Suse Linux 10.0 feststellen.

Ein Grundfehler ist es, nur bestimmte MIME-Types zu verbieten, statt dass man nur ganz wenige und genau erkannte MIME-Types erlaubt für das Upload.

Probleme gibt es da mit neuen Types, die in der MIME.Magic-Datei noch nicht aufgeführt sind oder für die es noch keine Sicherheit gibt, dass es keine Lücken mehr gibt...

Zwei unabhängige Prüfungen sind daher immer besser, als eine einzelne und dudem eventuell unsichere.

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg