Tach!

• Uploads werden außerhalb des Document-Roots gespeichert – gibt es eigentlich wirklich Webhoster, bei denen das nicht geht?

Welche Verzeichnisse außerhalb vom DocumentRoot liegen und beschrieben werden können, ist individuell. Ob der Verwender das generell außerhalb haben möchte, ist auch nicht gewiss.

Irgendwie muss man sicherstellen, dass der PHP-Interpreter sich nicht für die hochgeladenen Dateien interessiert (ja, das ist trotz der richtigen Dateiendung bei schlampiger Konfiguration des Webservers möglicherweise ein Problem). Außerhalb des Document-Roots zu speichern erschien mir da die sicherste Lösung. Wenn denn das ausliefernde Skript den übergebenen Dateinamen korrekt behandelt...
Ich sollte mal in den Quellcode von WordPress gucken, wie die das lösen. Sollte das tatsächlich ein solches Problem sein, dann müssten die sich ja bei der Verbreitung damit beschäftigt haben.

Viele der großen Projekte haben das Problem, dass sie die Verzeichnisstruktur nicht kennen, und nicht davon ausgehen können, dass bei allen Nutzern Verzeichnisse außerhalb des DocumentRoots existieren. Per Default sind deren Upload-Verzeichnisse üblicherweise innerhalb. Nicht dass ich das gut finde, aber das ist sicher ein Komprimiss, um maximale Laufbarkeit sicherzustellen. Das Upload-Verzeichnis ist ja nur eines. Auch reine Library-Verzeichnisse werden im DocumentRoot abgelegt, und dann in jede Datei am Anfang ein die()-Schutz eingebaut, falls sie direkt aufgerufen wird. Nicht bei allen Projekten kann man das konfigurieren. Es ist auch nicht sinnvoll, die Abrufe generell durch ein Script zu schicken, wenn der Webserver das ansonsten ohne Script direkt und performanter ausliefern könnte. Ich denke, hier muss man den Verwendungszweck berücksichtigen, den du bei einem allgemeinen Artikel zum Dateiupload nicht kennen kannst.

dedlfix.