Hallo,

Davon unabhängig könntest du eigentlich file auch direkt an myform.append() übergeben. Den Sinn des Umweges über FileReader und blob sehe ich in diesem Beispiel nicht.

Den Umweg muss ich wohl gehen, da eine per Drag&Drop aus meinem Mail-Programm übertragenes Attachment im file-object die Größe 0 hat. Damit wurde vom PHP immer nur eine 0-Byte-Datei erstellt.

ach, die Geschichte war das.

Ich gehe mal davon aus, dass das nur ein Test sein soll und du $name aus dem Formular nicht wirklich völlig ungeprüft als Dateinamen auf deinem Server benutzen willst.

Klar, ich überprüfe vorher auf Sonderzeichen und auch den Dateityp.

Definiere "Sonderzeichen". 😉
Und wie ermittelst du den Dateityp? Nur anhand des Namens?

Aber welche Risiken könnten dadurch noch entstehen? Außer, dass der Server die Datei zwar speichert, sie aber nicht mehr gelesen werden kann (z.b. wenn deutsche Umlaute im Linux als Fragezeichen gespeichert werden).

Das Umlautproblem hast du nur, wenn irgendwo etwas mit der Zeichencodierung nicht stimmt. Aber vermutlich würdest du es nicht lustig finden, wenn jemand .htaccess als Dateinamen angibt. Dabei will der doch nur spielen.

Live long and pros healthy,
 Martin