Hi,
Wie wird ein Code über Bild-Upload eingeschleust?
naja, du erzeugst eine Datei, die mit einem gültigen PNG- oder JPEG-Header beginnt, so dass einfache Checks befriedigt werden, z.B. auch getimagesize(). An der Stelle, wo die eigentlichen binären Bilddaten beginnen müssten, steht "rein zufällig" die Zeichenfolge "<?php". Der Rest PHP-Code sein, wie man ihn sich wünscht! :-)
Das gesamte Werk speicherst du nun als "bildname.png" und lädst es hoch. Schon hast du dein eigenes PHP-Script auf einem fremden Server. Wenn der Server-Inhaber nichts dagegen unternimmt ...
Ergo: In einem Verzeichnis, in dem vom Nutzer hochladbare Dateien landen, darf keine Datei landen, die ein unerwünschtes Verhalten bewirken könnte. Zusätzlich zur üblichen Plausibilitätskontrolle sollte man also auch ausschließen, dass dort abgelegte Dateien vom Server besonders behandelt werden.
Ciao,
Martin
Realität ist eine Illusion, die durch Unterversorgung des Körpers mit Alkohol entstehen kann.