Hello,

Nur die *_uploaded_file()-Funktionen prüfen, ob der darin angegebene Dateiname tatsächlich von einem Upload im aktuellen Skriptaufruf stammt. Diese Prüfung ist durch keine Alternative innerhalb von PHP-Code zu ersetzen.

Du willst also sagen, dass $_FILES nach Belieben von anderen Instanzen manipuliert werden kann?
Das genau zeichnet doch aber $_FILES, $_GET, $_POST, ... aus, dass das eben nicht mehr möglich ist. Die Arrays werden im ausschließlichen Einflussbereich des Scriptes gespeichert und sollten keinerlei Manipulation mehr ermöglichen.

Da die Werte

• $_FILES['uploadfilename']['error']
• $_FILES['uploadfilename']['tmp_name']
• $_FILES['uploadfilename']['size']

vom Server angelegt werden, sollten sie sicher sein!

Anderenfalls zeig mir bitte die Stelle, an der fremde Instanzen noch Zugriff darauf hätten. Dann hätten wir diese ganze Diskussion tatsächlich abkürzen können!

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg