Hallo Thomas,

[code lang=php]
if(isset($_POST["submit"]))

[...]

$ordner = "$_POST[ordnerin]";

Gibt es eine Konstante
    ordnerin
Wenn ja, was steht drin?
Warum überprüfst Du nicht, ob diese Variable gesetzt ist?
Warum kopierst Du diese Variable um? Siehe https://forum.selfhtml.org/?t=163289&m=1063287.

ungeprüft und ungefiltert wird ein Verzeichnis geöffnet, es könnte überall
auf dem Server sein. Nett.

$handle = opendir($ordner);

Und ohne zu testen, ob opendir() erfolgreich war, versuchst Du zu lesen.

while ($file = readdir ($handle)) {
    if($file != "." && $file != "..") {
            $compl = $ordner."/".$file;

Wiederum hast Du Deine gefährliche, ungefilterte und ungeprüfte Variable, die
Du wegen zwei Slashes in eine Zeichenkette packst. Du solltest gegen eine
Liste erlaubter Verzeichnisse prüfen.

$bild="/$_POST[ordnerin]/".$file;

Gleiches Spiel mit der Konstanten ordnerout ...

mkdir("$_POST[ordnerout]", 0777);

dazu der Erfolg nicht überprüft ...
Es gibt viele Fehlermöglichkeiten und viel zu tun.

Freundliche Grüße

Vinzenz