hi @Felix Riesterer

Im Übrigen muss man beim Upload sowieso sicherstellen daß ein Dateiname bestimmten Konventionen genügt.

davon gehe ich grundsätzlich aus. Slashes in jeder Richtung sind z.B. schlicht verboten.

Einem Hacker ist das völlig egal. Er platziert ein agent.php unterhalb der Docroot und kann dann in aller Ruhe sein Unwesen teiben.

Ähm... wie soll denn agent.php ausgeführt werden?

Indem er es requestet: http://example.com/agent.php

Im Übrigen werden PHP Dateien nicht ausgeführt sondern der darin enthaltene PHP Code.

FileAPI? Du meinst bestimmt File Information, Du alter PHP-ler. ;-)

Nein nix PHP. Ich meine schon die FileAPI im Browser. Was natürlich serverseitig auch zu verarbeiten wäre was man damit sendet.

MfG