Hi,

Nur die *_uploaded_file()-Funktionen prüfen, ob der darin angegebene Dateiname tatsächlich von einem Upload im aktuellen Skriptaufruf stammt. Diese Prüfung ist durch keine Alternative innerhalb von PHP-Code zu ersetzen.

Du willst also sagen, dass $_FILES nach Belieben von anderen Instanzen manipuliert werden kann?
Das genau zeichnet doch aber $_FILES, $_GET, $_POST, ... aus, dass das eben nicht mehr möglich ist. Die Arrays werden im ausschließlichen Einflussbereich des Scriptes gespeichert und sollten keinerlei Manipulation mehr ermöglichen.

Nein, $_FILES kann von Script selber manipuliert werden. Und da man nicht immer weiß, in welchem Zusammenhang dein Script läuft, muss man da eben auch von ausgehen.

Beispiele wären:
 - dein Script läuft als Modul/Plugin/... in einem anderen Script.
 - du bindest Fremdmodule ein (welche Schadcode enthalten können)

muf() ist frei von dieser Fehlerquelle, weil die Prüfung nicht aus PHP-Scope manipuliert werden kann.

Das wurde dir in diesem Thread schon mindestens(!) dreimal gesagt. Warum verlangst du eigentlich immer noch Beispiele?

Bis die Tage,
Matti