Hello,

Beachte aber, daß auch *.jpg-Dateien noch Schadcode enthalten können.

Meinst du so etwas? – In dem Fall hat man auf dem Server den Fehler gemacht, den vom Nutzer vergebenen Dateinamen inklusive Endung zu übernehmen. Mit einem zufälligen Dateinamen mit jpg als Dateiendung wie beispielsweise e807f1fcf82d132f.jpg wäre das nicht passiert.

Nein, ich meinte das noch eine Stufe schärfer: "kann der wahre Typ einer Datei erst ermittelt werden" ...
und trotzdem kann noch Schadcode enthalten sein. Bei JPG-Dateien ist das locker innerhalb der EXIF-Header möglich. Man muss dann nur noch eine Möglichkeit finden, diese Datei zu laden und ab einer bestimmten Stelle parsen zu lassen.

Ob es sich um eine gültige Grafikdatei handelt, kann man bei PHP so leidlich mit getimagesize() ermitteln. Mir ist da bisher noch keine Nicht-Bild-Datei durchgehuscht, was aber keinesfalls Absolutheitsanspruch hat!

Für per HTTP/s erreichbare Bilder/Dokumenten-Verzeichnisse sollte man immer alle Interpreter und Shells ausschalten!

Liebe Grüße
Tom S.