Hi CK,

Dann hast du vielleicht die Frage falsch oder unklar gestellt? :)

Ich glaubs auch langsam ;)

Du musst unterscheiden zwischen Schaden auf dem Server und Schaden am Client. Schaden am Server wird so ohne weiteres nicht möglich sein, allerdings würde ich dir aus Prinzip raten PHP für dieses Verzeichnis auszuschalten (z.B. via php_flag engine off in der .htaccess).

Hab ich ja.

Schaden am Client schliesst du damit allerdings nicht aus. Eine Zeit lang sind z.B. die Jailbreaks für das iPhone durch den PDF-Reader eingefallen. Die Rendering-Engine für Bilder hatte auf MS-Betriebssystemen zwischenzeitlich ein Memory-Corruption-Bug, der dazu geführt hat, dass man mit einem Bild beliebigen Code auf dem Client ausführen konnte.

Das so etwas hochgeladen wird wirst du so ohne weiteres nicht verhindern können.

Naja... ich kann wohl tatsächlich nichts für Lücken in Betriebssystemen jeglicher Art ;)

Würde dann doch aber im Umkehrschluß bedeuten, dass meine Ausgangsfrage eindeutig mit JA zu beantworten wäre, oder?

Ed