Hallo Eddy.,
Aber was, wenn ich keine Antwort finde, die auch nur ansatzweise auf meine Frage eingeht?
Dann hast du vielleicht die Frage falsch oder unklar gestellt? :)
Kann mir jemand ein (oder mehrere) gefaktes "Bild oder PDF" zur Verfügung stellen, das bei gegebener .htaccess (s.o.) in der Lage wäre, Schaden anzurichten? Ich habe es selber mal versucht, ein php-script mit falscher Endung wird schlicht nicht angezeigt, weil es "Fehler enthält".
Du musst unterscheiden zwischen Schaden auf dem Server und Schaden am Client. Schaden am Server wird so ohne weiteres nicht möglich sein, allerdings würde ich dir aus Prinzip raten PHP für dieses Verzeichnis auszuschalten (z.B. via php_flag engine off
in der .htaccess
).
Schaden am Client schliesst du damit allerdings nicht aus. Eine Zeit lang sind z.B. die Jailbreaks für das iPhone durch den PDF-Reader eingefallen. Die Rendering-Engine für Bilder hatte auf MS-Betriebssystemen zwischenzeitlich ein Memory-Corruption-Bug, der dazu geführt hat, dass man mit einem Bild beliebigen Code auf dem Client ausführen konnte.
Das so etwas hochgeladen wird wirst du so ohne weiteres nicht verhindern können.
LG,
CK