Hello,

Kleines Denkspiel zum Auftakt:

Wäre es trotzdem noch möglich, JPG-Dateien mit der Endung *.php hochzuladen?

Kann eine Datei mit ausführbarem php Code so gestaltet sein, dass sie eine korrekte Bildhöhe und -breite ausgibt, wenn das mit getimagesize() geprüft wird?

Ja.

Wenn nein sollte das keine Sicherheitslücke bedeuten, da diese Werte ebenfalls kontrolliert werden.

Es ist aber so, dass gerade bei JPG-Dateien im Exif-Header eine fast beliebige Menge Code untergebracht werden kann, die auch ausgeführt wird, wenn die Datei geparst wird. Die Datei muss für diesen Zweck "bearbeitet" worden sein, was aber möglich ist.

Man könnte vielleicht ein Bild in .php umbenennen und es "durchschmuggeln", aber ich sehe nicht wie das dann Schaden anrichten könnte.

Das darin enthaltene Script würde, wenn das Bild direkt per HTTP erreicht würde und damit vermútlich im Bereich der zu parsenden Dateien liegt, ausgeführt werden.

Vergiss bei der Anzeige in der Webseite nicht, htmlspecialchars() anzuwenden
siehe http://wiki.selfhtml.org/wiki/Artikel:Kontextwechsel

In welchem Sinne kann das Weglassen da eigentlich gefährlich sein? Könnten dann z.B. eine iframes eingefügt werden?

Bitte erst den Artikel von Dedlfix lesen.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg