Das sehe ich nicht so. Die kurze Antwort: Nein, es reicht nicht aus. Die lange Antwort entnimmst du bitte den anderen Antworten und fragst dort konkret noch mal nach.

Aber was, wenn ich keine Antwort finde, die auch nur ansatzweise auf meine Frage eingeht?

Ich versuchs mal anders:

Kann mir jemand ein (oder mehrere) gefaktes "Bild oder PDF" zur Verfügung stellen, das bei gegebener .htaccess (s.o.) in der Lage wäre, Schaden anzurichten? Ich habe es selber mal versucht, ein php-script mit falscher Endung wird schlicht nicht angezeigt, weil es "Fehler enthält".

Ed