Привет, нашел сайт, примитивный самопис, при регистрации имеется форма загрузки аватарок, которая вообще не фильтруется, то бишь даже скрипты хавает. Дело в том что админ забыл атрибут поставить enctype="multipart/form-data" - без него ведь ничего не выйдет, я изменил код формы и закинул на свой хост, файл обработчик тот же. Вопрос - происходит ли загрузка файлов? пытался закинуть изображение 5 мб, визуально видно что грузится, но остается ли на сервере?

Чтобы загружать файлы через формы в обязательном порядке должно стоять enctype='multipart/form-data'. Если его не указать, файл не зальется, а передастся лишь только путь к файлу.

Это видимо создатель не знал, но я добавил и теперь при отправке формы изображение или скрипт должно загружаться, но куда?

Туда, куда указывает action формы. А там на обработчике если предусмотрена обработка входящего файла, тогда он будет обрабатываться. Если не предусмотрена, то не будет соответственно. Просто файл не будет сохранен на сервере. Точнее он попадет во временную директорию и затем будет удален. То есть то де самое, если на любой скрипт направить файл, а там не предусмотрены операции с входящим файлом, ничего не будет. Другое дело, если обработка файла есть, и если она дырявая, то можно залить много чего хорошего, вплодь до шелла.