ist zumindest eine Dateiendungsprüfung vorzunehmen und nur ein paar harmlose Endungen sollten gestattet werden.

Die Namensendung sichert keine Eigenschaften des Dateiinhalts zu und da es auf jedem Server ein Leichtes ist, selbständig den Inhaltstyp zu ermitteln (Stichwort mimetype), in der Regel mit dem gleichen Aufwand wie deine Endungsprüfung, erscheint mir dein Hinweis eher aus der Kategorie Kinderkram zu stammen.

Mächtiges Unwohlsein breitet sich bei mir aus, wenn ich daran denke, dass ein großer Teil der in Benutzung befindlichen Browser sich bisweilen weder um Endung, noch um vom Server mitgeteilten Typ kümmert, sondern empfangene Daten nach Gutdünken selbst bestimmt und verarbeitet. Da ist dein toller Tipp dann für Server, die hochgeladene Daten sofort wieder zum Runterladen zur Verfügung stellen sollen, ein kapitaler Griff ins Klo.