Das beantworte nicht die Frage warum temp. Dateien angelegt werden müssen! Sie müssen das nämlich überhaupt nicht, nicht wegen einer Umbenennung und auch nicht wegen einem etwaigen Virencheck.

"Müssen müssen müssen" - Das Wort "muss" oder "müssen" hab ich nicht gebraucht. Die PHP Entwickler haben sich gedacht "So machen wir das." - Mir erscheint die Methode plausibel und es ist erreichbar, was wohl erreichbar sein soll. Wenn man den Server korrekt konfiguriert ist das auch nicht unsicher. Und als Massenhoster oder Fachkraft sollte man das hinbekommen.

Im Übrigen muss eine Datei auch nicht zwangsläufig im Dateisystem gespeichert werden.

Eine die den Arbeitsspeicher sonst ungebührlich belasten oder gar überlasten würde wohl schon - oder gibt es inzwischen ganz neue Erfindungen hinsichtlich des Speicherplatzes?