Hey Tom,

Das würde aber nicht verhindern, dass ein File, der 'ich_bin_ein_bild.phps' heißt, und auf irgendwelche Art und Weise auch dort liegt, wo er vom Requestor erwartet wird, ggf. geparst wird.

Du sagst es: "auf irgendeine Art und Weise". In dem Falle würde sie geparst werden. Es muss also verhindert werden, dass eine solche Datei überhaupt dort abgelegt werden kann, wo dies geschehen könnte.

Anders herum: Es muss von vornherein verhindert werden, dass Verzeichnisse (deren Dateien) geparst werden, in denen von Usern uploadbarer Content, Bilder, etc. landen können, sofern diese eben innerhalb der Document Root liegen.

reden wir aneinander vorbei? Ich glaube nämlich, wir meinen das gleiche. Korrigier mich bitte, wenn ich da falsch liege und erkläre mir noch einmal, was Du meinst.

Aber bitte mit einer Positivliste, also nur erlaubte Endungen durchlassen.

Selbstverständlich!

Gruß, Dennis