Hallo Reiner,

Herzlichen Dank für die Kommentare zu diesem Skript, dass von meiner Seite stammt.

das ≠ dass

1. Das Skript ist nicht an ein Formular gekoppelt. Es gibt keine Eingabefelder und keinerlei HTML-Code, der Prozess läuft völlig unsichtbar für den Benutzer.

Allgemein: Security by Obscurity kann funktionieren, muss aber nicht (das ist dann allerdings keine Sicherheit). Aber die Sicherheitsaspekte wurden hier ja bereits besprochen.

2. Es dient in der Praxis dazu, Link-Fehler innerhalb der Site zu entdecken. Dies ist sinnvoll und hilfreich, weil die Site faktisch tausende interner Links enthält (statisch gesetzt und großteils dynamisch erzeugt).

Gerade dann ist ein Blick in die Log-Dateien oft besser, weil man die besser als einen E-Mail-Haufen filtern kann, das sollte auch noch als Alternative erwähnt werden. Vielleicht ist diese Funktionalität aber für Leute, die das Log-Datei-Checken verschwitzen, ein nettes Helferlein.

4. Tatsächlich wird der User-Agent nicht gebraucht, ebenso wenig die IP-Adresse (braucht nicht weiter betrachtet werden).

Das Loggen der IP-Adresse dürfte in Deutschland meines Wissens zumindest rechtlich bedenklich sein.

5. Die Fehlerunterdrückung dient dazu, keinerlei Hinweis im Browser auf die Background-Routine zu liefern (jede bessere Methode wird gern genommen). Der Benutzer erhält ausschließlich (unabhängig vom Skript) wie üblich eine Error-Page (NOT FOUND), wenn der Fehler durch fehlerhaften Aufruf über die Adresseingabe oder durch einen fehlerhaften Link auf einer Seite ausgelöst wurde.

Das Error-Reporting von PHP auf passende Werte stellen (am besten in der php.ini), also die Fehler dem Nutzer generell nicht anzuzeigen (wozu auch, der Website-Betreiber muss ihn letztlich beheben), sondern nur in den Log-Dateien zu speichern, wo sie auch hingehören.

Solltet Ihr jedoch zu dem Schluss kommen, dass es unrettbar "bad,bad,bad" ist, stellt es kein Problem dar, die Publikation zu löschen, um Mißbrauch oder gar Schäden nicht zu fördern.

Ich finde es gar nicht schlecht, solche Fertig-Scripte bereitzustellen, am besten mit Erläuterungen – deren Leser werden dadurch vielleicht angeregt, sich mit PHP zu beschäftigen – vor allem dessen Möglichkeiten kennenzulernen – und sich eventuell sogar „anfixen“ lassen
– Bei mir war es so: Ich habe eines dieser fertigen Datei-Upload-Scripte ausprobiert, bin im Verlauf des Experimentierens (aber nicht des Einsatzes) auf Probleme (Dateigröße...) und Sicherheitsbedenken (Login via BasicAuth (.htaccess) davor geschaltet) gestoßen und habe mich dann letztlich mit PHP beschäftigt, um die Hintergründe zu verstehen.

Gruß
Julius