Hello,

Worst Case wäre, wenn die Datei Programmcode enthalten kann, der dann mit den Rechten des Webservers ausgeführt wird oder potenziell schädlicher Clientcode (JavaScript) bei einem anderen Benutzer angezeigt wird.

In dem ich selber den Dateiname nehme, bei dem Punkt trenne und schaue, ob nach dem punkt "txt" oder "user" steht?
NEIN!

Jein!
Denn es ist immer noch besser, dort steht 'txt' oder 'user', als wenn dort 'php' oder 'pl' stehen würde oder sonst eine von den giftigen Endungen, die den Webserver veranlassen könnten, einen Parser oder die Script-Engine anzuschmeißen.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg