Hi!

Daher habe ich vorhin gefragt, wer (warum) geschützt werden soll.
Soll nun Fehlverhalten des Programmierers oder Angriffsverhalten des Clients abgefangen werden?

Wenn du den Programmierer vor sicherheitsrelevanten Fehlhandlungen schützt, schützt du damit den Server. Also ist immer der Schutz des Servers (inklusive dem darauf liegenden Zeug), der auf dem Spiel steht.

Setz doch Deine Kraft ganz einfach mal dafür ein, die aufgeworfenen Denkansätze zu verfolgen und zu hinterfüttern oder ad Absurdum zu führen,

Mit dem Verfolgen der Denkansätze kommst du aber nur zu einer Theorie, die vielleicht in sich stimmig erscheint, aber sonst nicht weiter anhand der Tatsachen geprüft wurde. Das sehe ich als Sackgasse an. Ich glaube nicht, dass man ohne damaliges Wissen herausfinden kann, was genau der Sinn der Funktionen ist. Wenn du den Quellcode liest, wirst du seine Wirkungsweise sehen. Zum Warum kannst du dann auch wieder nur Theorien erstellen, aber keine absolute Antwort finden können. Oder stand eine in den Kommentaren des PHP-Quellcodes?

Immerhin ergaben meine Recherchen, dass is_uploaded_file() deutlich älter als move_uploaded_file() ist. is_ gab es seit 3.0.17 (außer zwischen 4.0 und 4.0.3), move_ seit 4.0.3. Damals wurde noch viel mit register_globals gearbeitet und man konnte damit seine eigenen Variablen von außen überschreiben lassen. Wenn man nun statt $HTTP_POST_FILES['foo'] auf $foo zugegriffen hat, und statt eines Uploads $foo[tmp_name] per Querystring übergeben hat, konnte man mit einem ungeprüften copy($foo['tmp_name'], ...) auch beliebige Dateien kopieren. Mit is_ konnte man vor dem copy() den Dateinnamen prüfen und mit move_ ohne explizite Prüfung sicher kopieren.

Lo!