Hi!

[...] Script für die Auslieferung. Dieses Script muss dann im Prinzip _sehr_ komplex sein, denn es müsste auch "chunked", "compressed" und "last modified" unterstützen.

Worin genau siehst du diesen Zwang begründet? Abgesehen davon, dass man HTTP 1.0 verwenden könnte, sind die genannte Dinge keine Pflichtveranstaltung.

move_uploaded_file() & Co. sind antiquiert. Bei Verwendung des (neuen) superglobalen Arrays $_FILES gibt es andere Möglichkeiten um festzustellen, ob das File hochgeladen wurde. Und diese sollten auch benutzt werden!
Wichtig ist die Einstellung eines eigenen upload_tmp_dir,

Das kann man als Anwender nicht unbedingt beeinflussen (php.ini oder httpd.conf müssen änderbar sein). Man kann es zumindest über phpinfo() kontrollieren. Wenn das auf /tmp oder ein anderes gemeinsames Verzeichnis zeigt, wüsste ich grad nicht, wie einem das Ignorieren von *_uploaded_file() weiterhilft.

Je nachdem, ob PHP als Modul oder als CGI oder FastCGI läuft, muss man noch weitere Sicherheitsmaßnahmen ergreifen.

Die da wären? (Oder stehen die schon im Wiki aufgeführt?)

Lo!