Hi!

Meine Frage war doch nicht, was dokumentiert ist, sondern, wie die die Funktion das "uploaded" feststellt. Da der Temporärdateiname vom Server-System ausgewürfelt wird und die Einstellung für 'upload_tmp_dir' mit PHP_INI_SYSTEM gekennzeichnet ist, kann ich mir nicht vorstellen, welchen Einfluss der Client auf diese Namen bzw. den Pfad nehmen könnte.

Nicht auf den Namen der hochgeladenen Datei, aber auf den String, den du bei copy() als ersten Parameter übergibst. Und die Funktion weiß natürlich, welche Datei hochgeladen wurde, weil PHP sie ja grad eben in Empfang genommen hat - genau die und nicht irgendwelche anderen, die andere Leute hochgeladen haben oder die schon auf dem System sind.

Was macht also move_uploaded_file() zusätzlich, um die Sicherheit noch zu erhöhen?

Es stellt sicher, dass ein Kopieren mit manipuliertem Dateinamen - sprich: anderer als der hochgeladener Dateien - nicht stattfinden kann.

Wen soll es eigentlich schützen?
Den Werserver.
*mmh*
Leuchtet mir nicht ein.

Ungewollte Offenlegung von Informationen auf dem Server wird verhindert.

Lo!