Sicherheit Basics · Uploads & Sicherheit

Datei-Uploads gehören zu den gefährlichsten Funktionen in Webanwendungen. Der Server nimmt dabei Daten entgegen, die vollständig vom Benutzer kontrolliert werden.

1) Warum Uploads gefährlich sind

Viele denken: „Ich erlaube nur Bilder, also ist alles sicher.“ Das Problem ist: Dateinamen, Dateitypen und Inhalte können manipuliert werden.

• Dateiendungen können gefälscht werden (bild.jpg.php)
• MIME-Typen aus dem Browser sind nicht vertrauenswürdig
• Hochgeladene Dateien können direkt aufgerufen werden

2) Dateinamen niemals ungeprüft übernehmen

Ein klassischer Fehler ist, den Dateinamen direkt zu verwenden:

$target = 'uploads/' . $_FILES['file']['name'];
move_uploaded_file($_FILES['file']['tmp_name'], $target);

Sicherer ist: eigener Dateiname, zufällig generiert.

$ext = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION);
$filename = bin2hex(random_bytes(16)) . '.' . $ext;
$target = 'uploads/' . $filename;

move_uploaded_file($_FILES['file']['tmp_name'], $target);

3) Dateityp prüfen (nicht nur Endung)

Die Dateiendung allein reicht nicht aus. Besser ist es, den tatsächlichen Dateityp zu prüfen.

$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime  = finfo_file($finfo, $_FILES['file']['tmp_name']);
finfo_close($finfo);

$allowed = ['image/jpeg', 'image/png'];

if (!in_array($mime, $allowed, true)) {
    echo "Ungültiger Dateityp";
    exit;
}

4) Upload-Verzeichnis richtig absichern

Selbst valide Dateien sollten nicht einfach im Webroot liegen. Ideal ist ein Verzeichnis, das nicht direkt per URL aufrufbar ist.

• Uploads außerhalb des Webroots speichern
• Oder Ausführung von Skripten explizit verbieten
• Dateien nur über ein PHP-Skript ausliefern

5) Typische Schutzmaßnahmen im Überblick

• Dateigröße begrenzen
• Dateityp serverseitig prüfen
• Eigenen Dateinamen vergeben
• Uploads nicht ausführbar speichern
• Fehlermeldungen nicht zu detailliert ausgeben