Hallo Jochen,

Das Vezeichnis für den Fileupload sollte außerhalb der Document-Root liegen (...)

Hört sich interessant an, wie mache ich das genau?

https://www.php.net/manual/en/ini.core.php#ini.upload-tmp-dir

und es sollten alle Scriptausführungen in diesem Verzeichnis ausgeschaltet sein! (.htaccess -> engine off).

Den hab ich nicht verstanden. Wenn der tmp-Ordner außerhalb des Document Root liegt, kommt eh kein Brauser dran und kann mit PHP darüber herfallen. Oder?

Verwertung der übermittelten Filesize.

Findet im Moment eh nicht statt. Wird zumindest nicht gezeigt. PHP limitiert Files ohnehin in der Größe (siehe Ini-Schalter upload_max_filesize und post_max_size). Wenn die automatische Limitierung im Upload reicht, braucht's keine weitere Prüfung.

Was mir mangels eigener Upload-Entwicklung gerade unklar war: Muss man sich um das Abräumen der tmp-Dateien aus dem Upload kümmern? Macht PHP das am Request-Ende automatisch? Aber dann seh ich grad im Handbuch: "The file will be deleted from the temporary directory at the end of the request"

Was man deshalb auf jeden Fall machen muss, ist das Verschieben der Temp-Uploads an den gewünschten Upload-Speicherort. Mit einem am Server vergebenen Namen, wie Tom sagte. Der Name, der vom Client kommt, darf höchstens ein informatives Attribut sein.

Rolf