Hello,
Bei mir kann man nur Dateien mit Dateiendung gif, png, jpeg und jpg raufladen. Kann es trozdem passieren, dass der Code ausgeführt wird?
Das ist schon mal eine Sicherheitsschranke.
Besser wäre es dann noch, wenn auf dem Server zusätzlich noch getestet wird, ob es sich um ein Bild handelt. Das kann man mit getimagesize() ganz bequem machen und es hat bei mir bisher auch immer sicher funktioniert.
http://de3.php.net/manual/en/function.getimagesize.php
Wenn man dann zusätzlich noch das Parsen von Dateien im Ablageverezichnis der Bilder verhindert, hat man noch eine zusätzliche Schranke. Das geht entweder mit einem Eintrag in der Host/Virtual-Host-Einrichtung oder beim Apachen auch in der .htaccess
php_value engine off
wenn es sich um PHP als Modul handelt. Wenn PHP als CGI ausgeführt wird, muss das Verzeichnis aus der Liste mit Scriptverzeichnissen ausgeschlossen werden.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg