[PHP] upload plików - bezpieczeństwo Opcje

[grit]

Witam, mam następujący problem.
Jestem zmuszony zrobić upload plików do serwisu za pośrednictwem tradycyjnego formularza. Muszą to być pliki typu TXT, DOC, XLS, PPT i pliki graficzne.
Problem polega na wg mnie dość dużym niebezpieczeństwie przechowywania takich plików. Pomijając już kwestię, ze ktoś może wgrać plik zawirusowany (tutaj wymiękam już na starcie (IMG:http://forum.php.pl/style_emoticons/default/sad.gif) ) to ktoś może wrzucić plik o niebezpiecznej zawartości od strony funkcjonowania serwisu- na przykład skrypt PHP w pliku z rozszerzeniem TXT- a później go uruchomić

O ile z plikami graficznymi w zasadzie nie ma problemu (sprawa często gesto opisywana na forum) to z innymi typami mam problem.

Póki co jestem w stanie sprawdzić czy ktoś nie podmienił rozszerzenia pliku - np wrzucił plik tekstowy ze zmienionym rozszerzeniem JPG.
Ale to nadal nie załatwia sprawy.

Proszę, pomóżcie to jakoś rozwiązać.
Właściwie to sam już nie jestem pewien jakie są niebezpieczeństwa (wydaje mi się, że jest ich dość dużo i że nie ze wszystkich zdaję sobie sprawę). Jeśli takowe są (np. czy można uruchomić skrypt PHP lub EXE lub jakiś inny na serwerze z pośrednictwem plików DOC, XLS, TXT lub PPT) to jak je wyeliminować?

Ew. mogę zrezygnować z TXT, ale co z innymi typami?

Zastanawiam się nad odczytywanie zawartości, np. za pośrednictwem funkcji file() tylko czego szukać? jakich treści? <??> ? czy tylko tego czy czegoś jeszcze.

Będę wdzięczny za podpowiedzi w tej kwestii.

[grit]

Mozesz mi krótko wyjaśnić na czym wg Ciebie polega siła uber-upload? Tak jak napisalem wcześniej nie oglądałem go dokładnie. Na pierwszy rzut oka to skrypt, który ma fajny progress bar, obsługuje kontrolę typów plików i wielkość POST MAX SIZE. Co jeszcze jest w nim warte uwagi? Podejrzewam, ze coś jest ale co...

Jeśli chodzi o pliki graficzne to jak napisałem raczej problemu nie ma - ze sprawdzeniem czy faktycznie jest to plik graficzny- natomiast jakie jest związane z nimi zagrożenie? Przecież nie są one parsowane przez serwer - z wyjątkiem ew. obróbki relizowanej przez skrypt PHP. Jednym słowem jest to taki sam plik zewn. jak np. doc czy xls. Dobrze mówię czy się mylę?