Hallo,

»» das ist etwas zu kurz gedacht. Woran machst du das JPG fest? Bedenke, dass ich dir ggf. eine .htaccess oder sonstige sicherheitsrelevante Datei überschreiben könnte.
weil mein script den MIME typ überprüft

das ist nett gemeint, aber im Ernstfall völlig wirkungslos, weil der MIME-Typ beim Upload vom Client ermittelt bzw. bestimmt wird. Ein böswilliger Angreifer kann dir also jede x-beliebige Datei unterschieben und sie aus voller Absicht mit dem MIME-Typ image/jpeg versehen.

bei den PDFs noch zusätzlich den dateinamen mit einem array der erlaubten namen abgleicht (und ich bau noch ein das auch die namen der bilder überprüft werden), aber wenn es ein "öffentliches" script geben sollte werde ich das schon überprüfen

Ich kann nur eindringlich warnen: Mach jetzt schon eine Prüfung, die auch im öffentlichen Einsatz was taugt. Nachher nimmst du das Script, denkst nicht mehr dran, dass du es noch "aufbohren" musst, und schon hast du den Salat.

So long,
 Martin