Hello Sebastian,

ich habe das jetzt extra nochmal nachgebaut für Dich auf meinem Testserver.
Ist schon länger her, dass ich mich mit dem Safe_Mode auseinandergesetzt hatte:
http://selfhtml.bitworks.de/ -> Wie funktioniert der Safe Mode

Aber es ist so, wie ich sagte:
Lege ein Unterverzeichnis für Deine Uploads mit deinem FTP-Programm an.
Dieses Verzeichnis sollte dann dem User gehören, dem auch die Scripte gehören, denn die hast Du ja auch mittels FTP hochgeladen. Leider wirst Du dieses Verzeichnis mit dem Recht o+rwx (also ??7) versehen müssen, damit der PHP-Prozess darin schreiben darf.

Besser wäre es, wenn es eine gemeinsame Gruppe für die PHP-Prozesse und den User gäbe, dann könntest Du die mit chgrp einstellen und für die Gruppe rwx setzen. Aber das wird wohl auf deinem
Server nicht zu erwarten sein.

Die Dateien, die Du dann in das Unterverzeichnis hochlädst gehören dann dem PHP-User. Du kannst sie also mit FTP vermutlich nicht wieder löschen. Dazu müsstest Du per PHP die Rechte für die Files auch vorher auf ??7 stellen.

Wenn es möglich ist, sollte man das Verzeichnis, in dem sich Upload-Files befinden, für HTTP-Zugriff sperren oder zumindest die Ausführung von PHP in diesem Verzeichnis unterbinden.

Das geht meistens mit einer .htaccess-Datei. Besser wäre es natürlich auch hier, das fest in die Serverkonfiguration einzubauen.

Ich kann eigentlich jedem Massenhoster nur empfehlen, für seien Kunden ein derartiges Upload-Verzeichnis schon vorzubereiten, besser natürlich noch, es liegt gleich außerhalb der Document Root.

Liebe Grüße aus Syburg

Tom vom Berg