Hallo,

seiner einiger Zeit bin ich damit beschäftigt, eine web-basierte Bilddatenbank zu erstellen (PHP & MySqL). Der berechtigte Personenkreis (ca. 100) hat hier die Möglichkeit Bilder in verschiedenen Formaten (PhotoShop, Quark, Freehand usw.) herunterzuladen (download) und auch selbst in das System einzupflegen (upload).

Alles funktioniert mittlerweile wunderbar;-)

Es bestehen aber noch Fragen hinsichtlich der Sicherheit. Wie kann z.B. Sichergestellt werden, daß nur Grafiken bestimmter Formate upgeloadet werden. Und wie kann sichergestellt werden, daß z.b. eine EXE-Datei nicht als TIFF-Datei getarnt wird?

Mein Gedanke ist jetzt, für den upload nur noch "zip"-Dateien zuzulassen. Meiner Erkenntnis nach, kann der Server entsprechende ZIP-Dateien eindeutig erkennen, d.h. eine EXE-Datei als ZIP-Datei zu tarnen ist nicht möglich. Liege ich da richtig?

Wie sehr Ihr das. Für Anregungen zu Sicherheit bin ich dankbar.

Viele Grüße
Frank Dell