Das meiste werde ich jetzt versuche umzusetzen, nur hierzu hab ich eine Frage:

Normalerweise ist eine Prüfung nach Dateiendung oder -namen gleichzusetzen mit dem Versuch anhand des Namens einer Person auf dessen Charakter zu schließen. Für den internen Gebrauch mag diese "Prüfung" ausreichend sein. Wenn du das jedoch später mal in ein anderes, öffentliches Projekt übernehmen willst, reicht das nicht mehr. Eine Prüfung nach Inhalt wäre angebrachter.

Ich kenn mich zwar nicht besonders gut aus, aber meines bisherigen Wissens nach ist der Inhalt der Datei doch egal, solange sie keine php-Datei ist.
Vorrausgesetzt es gibt keine Rechte zum Umbenennen der Datei auf dem Server, kann der User doch seine .txt oder sonstwie genannten Dateien mit schädlichem php-Inhalt ausführen wie er möchte - solange sie keine php-Dateien sind werden sie nicht also solche verarbeitet und sind daher nutzlos.

Grüße und vielen Dank schon für die Hilfe,

Eric