Hallo Dieter,

Wenn du bei Bildern auf Nummer sicher gehen willst, kannst du erstmal mit getimagesize() herausfinden, ob es sich wirklich um Bilder handelt.

Laut eines Artikels hier auf SELFHTML (ich find ihn natürlich nicht mehr) ist es durchaus möglich Code an getimagesize() vorbei zu schleusen.
Es war zwar immernoch nötig, dass die Datei anschließend als PHP geparst wird, aber trotzdem nicht schön das ganze.

Entgegen allen guten Gewohnheiten kannst du vor getimagesize() auch ruhig ein @ schreiben und so den Ablauf besser kontrollieren. Ich meine, man koennte auch direkt auf den Pfad in $_FILES['tmpname'] zugreifen, also ohne eine temporaere Kopie zu speichern, bin aber nicht 100pro sicher.

Kann man. Allerdings schreib ich das @ vor imagecreatefrom...() um dessen Fehler abzufangen. Mit getimagesize() hatte ich nie Probleme.

Ich verstehe aber nicht, wie du das mit den PDF usw. meinst, die werden hochgeladen, getestet, gespeichert und fertig oder was willst du sonst noch mit machen?

Es ist ja z.B. auch möglich PDF-Datein mit Schadcode zu versehen. Durch eine Kopie könnte man dann eventuell, ähnlich wie bei den Bildern, genau diese Teile rausfiltern.

Grüße, Matze