Hello Matti,

Nein, $_FILES kann von Script selber manipuliert werden. Und da man nicht immer weiß, in welchem Zusammenhang dein Script läuft, muss man da eben auch von ausgehen.

Das ist durchaus fast richtig. Aber ein Filial-Script-Programmierer kann in PHP derzeit noch alles tun. In dem Moment, in dem sein Script eingebunden wird, darf er alles, was das Hauptscript auch darf.

Es wird Dir bei der Hintergrundrecherche zu Deinem Posting sicherlich nicht entgasngen sein, dass http://de3.php.net/manual/en/ini.core.php#ini.disable-functions nur mit den Rechten
"php.ini only" möglich ist, also nicht im Script selber weiter eingeschränkt werden kann.

Wenn dieses Manko mal abgeschafft sein wird, dann haben wir vielleicht PHP 7.0 und ich werde mir Deinen Einwand nochmals zu Herzen nehmen, sollte er dann noch Bestand haben.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg