Hello,

Achso, ich verstehe jetzt. Du meinst Bilder =D. Und diese sollen nicht per HTTP direkt erreichbar sein, sondern nur von der Seite ladbar sein. Also wenn die Seite geladen wird.

Dann wären sie wieder direkt per HTTP zugänglich, wenn der Browser sie im <img>-Element als Source verwenden darf.

Wenn Du also Bilder hast, die hochgeladen werden dürfen, dann musst Du dafür sorgen:

• prüfen, ob es wirklich Bilder sind
• verhindern, dass jemand eine .htaccess-Datei hochladen kann
• verhindern, dass in dem Bilderverzeichnis PHP-Scripte geparst und ausgeführt werden,
    egal, wie die heißen.

das kannst Du in der Serverkonfiguration mit

engine off

erreichen.

• verhindern, dass Bider unter ihrem (vollständigen) Client-Namen als Datei angelegt werden.
    Dann könnte es nämlich auch passieren, dass sie einen Pfad enthalten im Namen und
    irgendwelche Dateien auf dem Server überschrieben werden oder sie irgendwo abgespeichert
    werden auf dem Server

Wenn die magic-quotes aus PHP verschwinden, wird es bei Upload-Scripten noch viele hässliche Überraschungen geben

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg