Lieber pl,
Ja wir können das mal so sagen: Ein beim Upload falsch angegebener Content Type hat beim Upload keine Auswirkungen.
sicher? Wenn ich Dir ein PHP-Script als Bilddatei unterschieben kann, welches dann im Dateisystem abgelegt wird, dann ist das ein Sicherheitsrisiko. Klar kannst Du jetzt sagen, dass es in einem Bereich außerhalb von DOCUMENT_ROOT abgelegt werden muss, damit man es nicht über eine URL aufrufen kann, aber nicht alle Anbieter unterstützen bei ihren Webspaces einen solchen Bereich. Und dann ist noch die Frage, warum man ein so fälschlich unter geschobenes Script behalten und gar noch zum Download anbieten möchte, wenn es mit einem (warum eigentlich?) falschen Content-Type hochgeladen wurde. Ob sich Artikel-13-Uploadfilter daran verschlucken werden...?
Er spielt nämlich erst bei der Weiterverarbeitung eine Rolle. Z.B. wenn die Datei zum Download angeboten wird.
Ist das wirklich (immer) so?
Liebe Grüße,
Felix Riesterer.