Guten Morgen Tom!

Die Bilder sollten z.B. mit getimagesize()(...)
darauf geprüft werden,
(Da kann immer noch ein Virus oder ein Script drin versteckt sein, aber das ist dann ohne weiteres nicht lauffähig)

Deshalb meine Idee per PHP ein neues Bild aus dem Original zu erzeugen.
Wär ich damit nicht auf der sicheren Seite?

Un dann sollte das Verzeichnis, in dem die Bilder abgelegt werden, kein PHP ausführen
oder noch besser, diese Direktive im Virtual-Host-Container vornehmen

php_admin_value engine off

Damit habe ich mich noch gar nicht beschäftigt.
Gibt es dazu was im Internet zu lesen? (Hab jetzt nicht gesucht)
Ich wüsste jetzt nämlich nicht was ein Virtual-Host-Container ist oder wo und wie ich den Pfad zu meinem Ordner angeben müsste.

(...)muss man auch sicherstellen, dass einem niemand eine .htaccess-Datei hochladen kann und auch keine php.ini

Naja, bei einer .htaccess leuchtet mir das noch ein.
Aber an die php.ini kommt man doch gar nicht ran oder? Die liegt doch ausserhalb des Zugriffsbereichs den ich über einen Browser habe oder?

Solltest Du also ein .htaccess-Datei benutzten sollte die auf jeden Fall schreibgeschützt sein für den normalen PHP-Prozess.

Ich werd wohl die .htaccess wie von dir vorgeschlagen verwenden.
Aber welche Rechte sind das dann, damit sie für PHP schreibgeschützt ist?

Wenn mehrere User hochladen dürfen, daher entweder für jeden ein eigenes Ablageverzeichnis OHNE ENGINE, oder z.B. die Usernummer voranstellen ->    13548.bildname.jpg

Genau genommen soll jedes Bild die ID eines entsprechenden Datensatzes aus einer MySQL-Tabelle bekommen. Ein Problem mit dem Dateinamen werde ich so also nicht haben.

Foxy