Tach!

du könntest den MIME-Type prüfen.

Kann man, aber das ist jetzt auch nur ein bisschen sicherer als so eine Dateiendungsprüfung. Zur Ermittlung des MIME-Types schaut die Funktion lediglich nach ein paar wenigen Magic Bytes, ob diese an den für diesen Dateityp typischen Stellen zu finden sind. Es wird nicht geprüft, ob der Rest vom Inhalt den Regeln für dieses Dateiformat entspricht, und auch nicht, ob sich eventuell in irgendwelchen Kommentar-/Freitext-Feldern Schadcode befindet. Die MIME-Type-Prüfung kann man vornehmen, aber man sollte wissen, was man damit erreichen kann und was prinzipbedingt nicht zu leisten geht.

dedlfix.