• und die Verwertung der übermittelten Filesize.
  Filesize() muss auf jedem Fall auf dem Server geprüft werden, was der Client meldet, kann gelogen sein. Man sollte aber hier auch die handlebasierte Funktion verwenden. Die kann dann auch gleich für den MIME_Type benutzt werden.

• Prüfung des MIME-Types der Datei
  Bitte auch auf dem Server prüfen und nicht glauben, was der Client meldet. Die Funktion mime_content_type() sollte hier helfen. [Leider hängt das Online-Manual gerade].
  Ohne diese Prüfung könnte man Dir alles auf den Server jublen und dann ist er eventuell schnell geknackt.

• Den vom Client gemekdeten Filename darf man keinesfalls ungeprüft übernehmen. Der könnte ganze Pfade enthalten, bzw. schäfliche Filenamen (PRN, LPT, ...)

• Das Vezeichnis für den Fileupload sollte außerhalb der Document-Root liegen und es sollten alle Scriptausführungen in diesem Verzeichnis ausgeschaltet sein! (.htaccess -> engine off).

• User/Passwort-Prüfung konnte ich jetzt nicht entdecken. Habe ich die übersehen?

Ein paar Dinge davon werde ich sicher noch einbauen.
Bedenke aber auch, dass ich der einzige User dieser App bin, soll heißen, die Motivation, meinen eigenen server zu hacken ist gering und meine Möglichkeiten, dies zu tun, sind auf andere Weise deutlich größer. 😉

• Das Vezeichnis für den Fileupload sollte außerhalb der Document-Root liegen und es sollten alle Scriptausführungen in diesem Verzeichnis ausgeschaltet sein! (.htaccess -> engine off).

Hört sich interessant an, wie mache ich das genau?

Jochen