Hello,

Was den Sicherheitsaspekt angeht, reicht es doch wenn ich nach dem Upload eine Überprüfung durchführe oder? Daher die Frage nach dem MIME-Typen.

Ja, sicherlich. Eine andere Möglichkeit der Überprüfung besteht eigentlich gar nicht.
Was der Client sendet, ist nicht vertrauenswürdig.

Solltest Du es hin bekommen, musst Du sehen, dass Du den MIME-Type mit einer servereigenen Funktion prüfst. Bei Linux steht da noch "file" zur Verfügung, dass man über exec() bemühen kann.

PHP hat seine Überprüfungsfunktion mime_content_type()
http://de3.php.net/manual/en/function.mime-content-type.php
leider abgekündigt und die andere aus PECL ist Schrott.

Nimm auf keinen Fall das Feld $_FILES[$formfieldname]['type']
Das kommt vom Client und ist eben unsicher
http://de3.php.net/manual/en/features.file-upload.php

Harzliche Grüße vom Berg
http://bergpost.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Ein Jammer ist auch, dass die Dummen so selbstsicher und die Klugen voller Zweifel sind. Das sollte uns häufiger zweifeln lassen :-)