if(isset($_POST['submit']))

Das Dilaogelement heißt in Deinem Script doch auch 'upload' und nicht 'submit'

Es heißt nicht "upload", der Wert value enthält nur die Beschriftung. (Ändere ich die If-Bedinung in 'upload', passiert genauso wenig.) Was soll ich also tun?

Dann sollten wir nun aber noch zu den Sicherheitslücken und zu den Fehlermöglichkeiten kommen.

Nach einem Upload solltest Du auf jeden Fall als erstes

if ($_FILES['formularfeldname']['error'] === 0)
  {
     ## Upload eines einzelnen Files ist OK
     ## weitermachen

}
  else
  {
     ## Fehlerauswertung

}

prüfen.

Außerdem solltest Du auch prüfen, WAS hochgeladen wurde. Wenn es eine ausführbare Datei, ein PHP-Script oder ähnliches ist, und Du das nicht erwartet hast, dann könnte der Server gefährdet sein.

Eins nach dem anderen. Ich bin PHP-Anfänger und muss so ein Script Schritt für Schritt aufbauen.