Hello,

• per HTTP direkterrecihbar ist (z.B. Bilder, die keine sind)
  Meinst Du einen Dateiupload via Formular mit diesem  enctype="multipart/form-data"?

Reicht es für diesen Fall aus, die Dateiendung zu kontrollieren?

Jein.
Das Problem ist dabei, dass Du nie ganz sicher sein kannst, welche Files beim Aufruf per HTTP vom PHP-Parser geparst werden, wenn Du den Server nicht selber betreust.
Diese Einstellungen liegen bei  einem Hoster i.d.R. außerhalb deines Einflussbereiches.

Es ist also besser, das Parsen für das Ablageverzeichnis der Bilder AUSZUSCHALTEN

engine off

Dafür zu sorgen, dass die hochgeladenen Files tatsächlich Bilder sind

getimagesize()

und auf jeden Fall zu verhindern, dass eine .htaccess-Datei hochgeladen werden kann!
Es ist also auch nicht verkehrt, im Upload-Verzeichnis eine leere .htaccess-Datei zu plazieren, die für den Webserver und normale User schreibgeschützt ist.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg