Reicht es für diesen Fall aus, die Dateiendung zu kontrollieren?

Nein - die Dateiendung hat in diesem Fall wenig Aussagekraft.

Es lohnt immer, mit diversen Techniken nochmal zu verifizieren, was man hat. Will man z.B. nur Bilder bestimmter Typen, sollte man das auch nochmal zusätzlich prüfen

welche die Daten aus der Datenbank per open_file(); (eigene Funktion) ausliest. Problematisch?

Solange die aus der Datenbank kommenden Strings nicht durch eval() gejagt werden ansich nicht.