Hello Rolf,

Das Vezeichnis für den Fileupload sollte außerhalb der Document-Root liegen (...)

Hört sich interessant an, wie mache ich das genau?

https://www.php.net/manual/en/ini.core.php#ini.upload-tmp-dir

und es sollten alle Scriptausführungen in diesem Verzeichnis ausgeschaltet sein! (.htaccess -> engine off).

Den hab ich nicht verstanden. Wenn der tmp-Ordner außerhalb des Document Root liegt, kommt eh kein Brauser dran und kann mit PHP darüber herfallen. Oder?

Über HTTP stimmt das, wenn es kein Leck gibt.

Aber wer die Gelegenheit über SFTP oder Konsole oder eine Lücke in MySQL hat, darauf zuzugreifen (man weiß ja nie), der könnte auch ein Shell-Script, ein Python-Script, oder ähnliches ausführen lassen.

Es müssen daher ALLE Scriptausführungen für das Upload-Verzeichnis ausgeschaltet sein!

Glück Auf
Tom vom Berg