Hello Nino,

Du solltest auf jeden Fall an eines denken:
Die hochgeladene Datei sollte weder als temporäre Datei noch nachher als abgelegte Datei in den Einflussbereich des Clients geraten, also per HTTP/HTTPS oder weiterer zugelassener Protokolle erreichbar sein.

Speziell bei PHP-Upload-Verfahren findet man immer wieder diesen Fehler, dass die Dateien in einem Verzeichnis landen, dass direkt per HTTP in den Ressourcebezeichner aufnehmbar ist.

• Das Ablageverzeichnis sollte außerhalb der Dokument-Root liegen
• Das tmp-Verzeichnis sollte pro Domain getrennt geführt werden
• Files aus dem Ablageverzeichnis sollten nicht geparst werden

Damit hat man dann schon eine relativ hohe Sicherheit erzeugt, dass kein Trojaner ins System geschleust werden konnte, bestenfalls auf die Platte, aber eben nicht ausführbar.

Grüße aus dem Oberharz

Tom vom Berg