Schon klar, aber auch ein *.php innerhalb eines Image-Tag wird vom Browser als Bild ausgewertet und ist somit genauso (un)gefährlich, wie ein *.jpg oder *.gif. Egal wasauchimmer böses in einem solchen *.php drinstehen mag, es hat nur soviel "Macht" wie ein normales Bild, insofern ist es auch...