Kleine Ergänzung: Die Angabe {Content-Type}, vom CGI-Parser geliefert, ist das was der Browser sendet, das ist nicht verlässlich. Du tust gut daran, eine eigene Prüfung, z.B. mit File::Type zu machen.

ok. ich schau mir zuerst die dateiendung an, wenn die stimmt dann lass ich das upload temporär zu. bevor ich aber an die endgültige position schreibe, prüfe ich die tempdatei nochmal mit file::type, denn es kann ja sein dass der anwender einfach eine *.bomb mit *.mp4 tarnt.

ich frag mich wie sicher die dateiprüfung mit file::type im endeffekt ist. wenn sich einer wirklich gut auskennt (was ich definitiv nicht kann), dann kann er mir doch auch ne bombe für ein stück käsekucken verkaufen. kann eine tempdatei schaden anrichten, schon bevor ich sie an die richtige stelle kopiere? ne, oder? sonst könnte man ja jede maschine im handumdrehen knacken.

• Gustl