Hello,

Das würde aber nicht verhindern, dass ein File, der 'ich_bin_ein_bild.phps' heißt, und auf irgendwelche Art und Weise auch dort liegt, wo er vom Requestor erwartet wird, ggf. geparst wird.

Du sagst es: "auf irgendeine Art und Weise". In dem Falle würde sie geparst werden. Es muss also verhindert werden, dass eine solche Datei überhaupt dort abgelegt werden kann, wo dies geschehen könnte.

Anders herum: Es muss von vornherein verhindert werden, dass Verzeichnisse (deren Dateien) geparst werden, in denen von Usern uploadbarer Content, Bilder, etc. landen können, sofern diese eben innerhalb der Document Root liegen.

Also ist die einzige Schwachstelle wohl der files-Ordner; hierbei insbesondere der Ordner mir User-Uploads.

Der ist meistens die Schwachstelle, ja.

Beim User-Upload wird natürlich je nach Kontext überprüft, was hochgeladen werden darf und was nicht. Wobei sich das zumeist auf einfache Überprüfungen wie Datei-Endung und/oder -Größe, etc., bezieht.

Aber bitte mit einer Positivliste, also nur erlaubte Endungen durchlassen.
Zusätzliche Maßnahmen, wie MIME-Type-Prüfung und getimagesize() auf dem Server sind nicht schädlich, aber alleine nicht ausreichend.

Falls Du daruf hinaus möchtest, dass man wenn möglich eine andere Sprache verwenden sollte, stimme ich Dir zu. Mein Ausgangspost sollte sich aber darauf beziehen, ob OOP eine gute Lösung ist, wenn man - aus welchen Gründen auch immer - PHP verwenden muss.

Nö, eine andere Sprache wollte ich jetzt nicht propagieren. PHP ist schon eine gute brauchbare Lösung. Sie ist leicht verständlich, wenn auch manchmal noch sehr chaotisch, was z.B. die Reihenfolge von Funktiomnsargumenten betrifft... Und die diversen Funktionen mit "Callbackfunktion" sind auch nicht unbedingt praktisch.

Aber man kann eben nicht alles haben.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg