Hochgeladene Bilder auf Hijacking überprüfen?

Wenn das so ist, korrigiere ich mich. Man muss nicht nur die Header nach HTML-Tags durchsuchen sondern auch prüfen, ob die Datei wirklich so aufgebaut ist, wie es die Spezifikation des jeweiligen Dateityps verlangt.
Bleibt noch zu klären, wie sich der IE verhält, wenn man ein Bild so konstruiert, dass das Format korrekt ist, kein HTML in den Headern steht aber die Bilddaten, die ja i.d.R. irgendwie komprimiert sind, zufällig eine Zeichenfolge in sich haben, die einem HTML-Tag entspricht. Bei sowas helfen dann auch die PHP-Image-Funktionen oder Unix-Tools nicht weiter.

also zumindest wird kein js-code ausgeführt. habs getestet. allerdings klappt das mit php-code, wenn man keine überprüfung von get-parametern vornimmt. siehe auch hier punkt 3.

peter