Lieber Hotti,

Ich möchte Uploaddateien temporär in einem Verzeichnis unterbringen, aus der sie, soe wie die Sessiondateien selber, nach einiger Zeit der Nichtbeachtung wieder entfernt werden, ohne dass man sich darum kümmen muss. Da könnte das Session-Verzeichnis doch ganz praktisch sein. Oder steht dem etwas entgegen?

Ja, die Möglichkeit, ein Upload OHNE temporäre Dateien zu machen.

Bringst Du da etwas durcheinander?

Dir fehlt das Hintergrundwissen: Beim Upload mit dem Enctype="multipart/form-data" wird grundsätzlich eine temporäre Datei angelegt wenn in einer der Multipart-Komponenten der Parameter file="Dein_Upload_Input_Feld" gesetzt ist. Bei mehreren Upload-Feldern mit dem type="file" sind es dementsprechend mehrere temporäre Dateien.

Die Sicherheitslücke besteht darin, dass in dem Zeitraum, wo es diese temporären Dateien gibt, ein Eindringling (Hacker) auf dem Server auch Zugriff darauf hat. Ein bösartiger Hacker kann diese Daten also für eigene Zwecke missbrauchen, ohne dass der Anwender etwas davon mitbekommt. Dieses Problem betrifft sowohl Perl als auch PHP, wobei es in PHP wahrscheinlich wie in Perl eine Möglichkeit gibt, zumindest den Zugriff auf diese temp. Dateien einzuschränken.

Unabhängig davon besteht immer die Gefahr, dass solche temporären Dateien als Leichen verbleiben.

Temporäre Dateien kann man für den erwünschten Zweck nicht nutzen, denn die verschwinden zwischen den Roundturns. Die hochgeladenen Dateien sollen aber einige Roundturns überleben.

Wie ich bereits schrieb: Auf temporäre Dateien verzichten, die hochgeladenen Bytesequenzen direkt aus STDIN lesen und gleich da speichern wo sie hinsollen.

MfG