paar Sachen die total super sind um sicher zu arbeiten:

• kein $GLOBALS benutzen, kein 'global $var' benutzen, kein $_REQUEST benutzen, möglichst keine Variablen umschreiben ($mail = $_POST['mail']), sondern Variablen immer nachvollziehbar halten, das hält deinen Code sauber und nachvollziehbar = verständlich = sicher(er)

• kein @ benutzen, Fehler nicht einfach unterdrücken und wegignorieren, sondern beheben! finfo_open wirft nichtmal einen Fehler, mach dir also das Leben nicht selber schwer. Erwarte alles, traue niemandem.

• Dateitypen aus finfo etc. auch validieren - also bei einem Bildupload auch nur Bilder berücksichtigen. Sonst kommt noch jemand auf die Idee 'meinbild.jpeg.php' auf deinem Server auszuführen

• Wenn du was vor Suchmaschinen verstecken willst: robots.txt. Wenn du was vor unautorisierten Benutzern verstecken willst: Session.