• besser keine eigenen Statuscodes definieren, und wenn dann ein 9XXer, dafür sind die da
• nutze $_SERVER["SERVER_PROTOCOL"] statt HTTP/1.0, das kann sonst Probleme bereiten

Hi Julius,

Danke für Deine Antworten!

header($_SERVER["SERVER_PROTOCOL"]." 404 Not Found"); kannte ich so noch nicht!

wenn die Funktion: function check_spam_user() { .... } greift handelt es sich nicht um einen Nutzer mit "guten Absichten" ...

Sinnvoll könnte aus meiner Sicht sein diesen gesamten Funktionsblock in einer .htaccess auszulagern um php nicht bemühen zu müssen.
Derzeit fehlt mir das technische Verständnis um die RewriteRule zu formulieren.

   $.ajax({
        url: 'template/load/ajax.php',
        data: data,
                     processData: false,
                      contentType: false,
        type: 'POST',
        success: function ( data ) {

                        if(data.indexOf("Upload-ok:") != -1)
                        {
                                $("#my_error_string" ).html('<span class="alert-success">erfolgreich hochgeladen!</span>');
........
                        else if(data.indexOf("Error:") != -1)
                         {
                                $("#my_error_string" ).html('Fehler beim hochladen!');

in wie weit es möglich ist mit Hilfe von $.ajax data "Schadcode" einzuschleusen kann ich nicht beurteilen. Theoretisch wird indexOf in der Funktion die Rückgabe von data als String untersuchen.

Da ich alle Ajax php files in das Verzeichnis load lege macht ein einfacher Schutz Regex auf Cookie in einer htaccess Sinn.

Deinen Denkanstoß Fehlerunterdrückung php werde ich aufnehmen meine Lösung könnte so aussehen

        set_error_handler('myHandler');
         #  Code für den eigenen Handler
        
        function myHandler($code, $msg, $file, $line) {
           file_put_contents.....
        }

Grüße Netti