paar Sachen die total super sind um sicher zu arbeiten:

Dank Dir

• kein $GLOBALS benutzen, kein 'global $var' benutzen, kein $_REQUEST benutzen, möglichst keine Variablen umschreiben ($mail = $_POST['mail']), sondern Variablen immer nachvollziehbar halten, das hält deinen Code sauber und nachvollziehbar = verständlich = sicher(er)

Warum keine Globals? Eine verständliche Erklärung fehlt mir irgendwie... habe das auch im Hinterkopf GLOBALS = gefährlich

• kein @ benutzen, Fehler nicht einfach unterdrücken und wegignorieren, sondern beheben! finfo_open wirft nichtmal einen Fehler, mach dir also das Leben nicht selber schwer. Erwarte alles, traue niemandem.

Naja, das ist ein Ajax _REQUEST läuft also im Hintergrund PHP Fehlermeldungen sind eine Einladung wenn der _REQUEST per Console abgefangen wird..
also error_reporting(0); plus @

• Dateitypen aus finfo etc. auch validieren - also bei einem Bildupload auch nur Bilder berücksichtigen. Sonst kommt noch jemand auf die Idee 'meinbild.jpeg.php' auf deinem Server auszuführen

kann nicht geschehen bild bekommt eine andere Bez. mit Endung

• Wenn du was vor Suchmaschinen verstecken willst: robots.txt. Wenn du was vor unautorisierten Benutzern verstecken willst: Session.

ok Session werden es werden