Hallo,

Selbstverständlich ist $_FILES zur Laufzeit manipulierbar, so wie die anderen Superglobals auch.
Durch den Scriptautor.

durch den natürlich auch, aber nicht nur.

Es geht doch um Manipulation durch den Client.

Nein - jedenfalls hatte ich im gesamten Verlauf dieser Diskussion nie den Eindruck, dass es um Manipulationen durch den Client ging. Der Client ist doch wurscht - er schickt einen POST-Request, der einen Dateiupload als Payload enthält. So what?

Meiner Ansicht nach geht es die ganze Zeit vielmehr um Manipulation der hochgeladenen Dateien im temp-Verzeichnis durch andere, nebenläufige Prozesse auf dem Server. Oder Manipulation der in $_FILES bereitgestellten Informationen durch Fremdbibliotheken oder -klassen, die der Scriptautor nutzt, ohne sich haarklein über deren Implementierung zu kümmern (was auch wegen der Komplexität teils nicht zumutbar wäre).

Ciao,
 Martin