Hello,

Das Szenario, dass ein böser Angreifer die hochgeladene Datei noch vor ihrer Verschiebung verändert, wird durch die Nutzung von $_FILES nicht ausgeschlossen.

Genau. Endlich hast Du es verstanden. Weder $_FILES, noch *_uploaded_file() garantieren, dass das File _nicht_ manipuliert wurde.

$_FILES & File-Handle-Funktionen ist daher in der Lage, _mehr_ "Sicherheit" zu liefern, als move_uploaded_file(), das bekanntermaßen vorhandene Files noch überschreibt.

Insofern hat dieses Szenario keinerlei Einfluss auf die Entscheidung, ob move_uploaded_file() obsolet ist, oder nicht, weil die von dir vorgeschlagene Alternative dasselbe Problem hat.

Das sehe ich anders. Move_uploaded_file() suggeriert eine Sicherheit, die es nicht leistet und hat zudem auch noch handwerkliche Fehler (Überschreiben...)

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg