Wie werden diese Dateien "weiterverarbeitet", d.h. was wird mit diesen Dateien gemacht? Daraus resultieren erst die möglichen Gefahren.

Bis jetzt verschiebe ich die Datei per move_uploaded_file() in ein *Unterverzeichnis meines Projekts.

das heisst, es ist via http erreichbar?
Das ist eventuell schlecht.
Entweder ausserhalb des docroot oder mit .htaccess schützen.
Andernfalls müsstest du zu diesem Zeitpunkt absolut sicher sein, dass jeder Request in dieses directorie nur die Datei ausliefern wird, oder sich nur auslieferbare Dokumente dort befinden.

Wenn das erfolgreich war, lese ich die Datei mittels fgetss() in einen String ein.
Aus diesem "picke" ich mir per diverser preg_match/preg_replace/etc. Aktionen meine benötigten Informationen raus, verarbeite diese und speichere diese in mehreren Cookies - fertig.

Der Sinn des letzteren weiss ich jetzt nicht.
Das hat ja höchstens damit zu tun, dass der, der die Datei hochlud, nun ein Folgerecht zu dieser Datei gewinnt.

*Welche Rechte setze ich denn notwendiger-/ idealerweise für das Uploadverzeichnis?

Solche die ausreichen, dass dein Script in diesem Direktory Dateien anlegen und löschen darf. Das ist 775 oder 757 je nach dem...

Ich arbeite nicht mit PHP, kenne also dessen Besonderheiten nicht.

mfg Beat