Jetzt stehe ich irgendwie Schlauch? Was meinst du?
Um Missverständnissen vorzubeugen: Auf keinen Fall den Security-Check abschalten!
Soweit ich das verstanden habe, wird in xtc_access.php geprüft, ob der admin ordnungsgemäß angemeldet ist und die Berechtigung für den Upload existiert.
Das Problem war, dass die Session-ID nicht korrekt vom Upload-Formular übernommen werden konnte.
Mein Fix besteht darin, dass die Session-ID nicht mehr per GET aus dem Formular erwartet wird
(xtc_access.php:Z12:$secure_id = $_GET['sid']; )
sonder direkt aus den Cookies
(xtc_access.php:Z12-NEU: $secure_id = $_COOKIE['XTCsid']; )
Somit steht die sid wieder zur Verfügung und der Check funktioniert, wie er ursprünglich geplant war.
Einziger Wermutstropfen: Damit der Upload funktioniert MUSS der admin-Browser Cookies auch akzeptieren, aber damit kann ich leben