Hello Chris,

[code lang=php]$_FILES['foo']['tempname'] = 'Tom_erzaehlt_gerne_Quark.txt';

Da hat der Programmierer ChrisB ja auch geschlafen!

Hat er das jetzt absichtlich getan, um TOM ztu schaden?
Oder hat er das getan, weil einfach blöd ist?

Und du wagst es dich an anderer Stelle noch, anderen vorzuwerfen, sie hätten keine fachlichen Argumente?

Habe ich dich da eben missverstanden? Dann tut es mir leid.
Was wolltest Du denn mit dem Codeschnipsel sagen?

Sollte das eventuell heißen:

$_FILES['foo']['tmp_name'] = 'Chris ist auch nicht schlecht im Quarkerzählen.php';

Wolltest Du damit also beweisen, dass der _Scriptautor_ den Dateinamen manipulieren kann? Der kann alles manipulieren. Er wird nur durch eine saubere Systemeinrichtung daran gehindert, mit seinen Scripten Schadcode wirksam werden zu lassen. Dass der sich selber schädigt, kann man nicht verhindern.

Wichtig ist doch, dass der User des Systems (also der Client) keine Manipulationen mehr vornehmen kann. Das konnte er durch die alten Files-Variablen und register_globals vermutlich.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg