Форум PHP

>что такое добавление $_FILES["file"]["type"]?
извините, не правильно сформировал ответ, имел ввиду при добавлении файла

я кстати использую copy.. или все-таки безопаснее move_uploaded_file() ?

на счет ограничения немного не понял, там же вроде место куда перемещается файл указано...

что такое добавление $_FILES["file"]["type"]?
Проверка да, и ограничение при формировании расширений файла - второго параметра move_uploaded_file()

а каким образом тогда?
идет просто проверка при добавлении $_FILES["file"]["type"]
этого достаточно?

Разве с помощью .htaccess можно запретить размещение?
Какую ссылку?

>б) в этих каталогах запрещать размещение любых типов файлов, кроме указанных явно.>дополню.
это с помощью .htaccess?
скиньте ссылку пожалуйста

дополню.
Бояться нужно не самих файлов. Нужно опасаться ситуаций, когда пользователь сможет сделать их содержимое исполняемым кодом.
На практике это означает, что нужно
а) предотвращать загрузку файлов в каталоги не предназначенные для этого специально.
б) в этих каталогах запрещать размещение любых типов файлов, кроме указанных явно.
в) в том числе и любые попытки поместить или изменить там служебные файлы апача .ht*
г) из явно указанных типов исключить типы, интерпретируемые как на сервере (php и т.п.) так и на клиенте от имени сервера (html, и т.п.)

Кстати, изрядное количество ошибок такого рода достигается, если скрипт примененяет элемент $_FILES['file']['name'] для именования серверной копии загруженного файла.

об этом читал в Вашей книге "Практика создания веб-сайтов Второе здание" ;)
кстати, спасибо Вам за неё, всё очень доходчиво

Бойтесь файлов, загружаемых пользователями.

поделитесь тогда пожалуйста, чего мне следует бояться кроме sql-инъекций и xss?

C таким подходом, конечно, можно писать скрипты. Для себя.
Но имеет смысл поостеречься давать советы. Другим.
Вы же не можете наверняка утверждать, что будет им грозить, а что нет?