Hello,
Und den Programmierer vor sich selber schützen kann man sowieso nicht wirklich.
Das nicht, aber Anwender vor Gefahren von dritter Seite. Wenn jemand ein Plugin oder anderweitig Code in dein System bringen kann, kann er sicher noch ganz andere Dinge als nur $_FILES zu manipulieren. Aber ist das ein Grund auf die Prüfung innerhalb von muf() zu verzichten (wenn das Dateiüberschreiben kein Thema oder mit CKs Patch gelöst ist)? Welcher Vorteil bleibt dir denn noch nach CKs Verbesserungs-Patch?
Die Frage lautete anders herum: welchen Vorteil hat move_uploaded_file() jetzt und welchen eventuell später? Wer bestimmt wie, dass der "Plug-In-Schreiber" nur move_uploaded_file() benutzt und nicht die generische Variante oder file_put_contents() ?
Da sehe ich nicht wirklich eine Chance, diesen "Plug-In-Berechtigten" wirklich auf Abstand zu halten. Der darf dann sowieso alles, was die Scriptinstanz darf. Oder habe ich jetzt was falsch verstanden?
Und wenn der in irgendein Verzeichnis eine Datei legen will, dann tut der das eben mit fopen() & Co. oder file_put_contents() oder sonstwie...
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg