Hi,

Selbstverständlich ist $_FILES zur Laufzeit manipulierbar, so wie die anderen Superglobals auch.

Durch den Scriptautor. Und wen stört das?

Dich offenbar nicht.
Das Szenario, in dem es relevant sein könnte, habe ich genannt.

Es geht doch um Manipulation durch den Client.

Laut dir geht es um eine "Sicherheit", die $_FILES bieten soll.
Tut es in diesem Szenario aber nicht, move_uploaded_file aber sehr wohl.

Diese Äußerung von dir zeigt doch, dass Du gar nicht begriffen hast, worum es geht.

Ich weiß, das ist dein Standardspruch, wenn dir die Argumente ausgehen.

MfG ChrisB