Schlecht abgesicherte Dateiuploads sind eines der Haupteinfallstore für Schadsoftware.
So isses. Es ist jedoch ganz einfach Uploads sicher zu machen: Der Anwender darf weder Dateiname noch Verzeichnis festlegen.
ohne den Troll(?) füttern zu wollen, nur für Anfänger: Obiges ist nur ausreichend, wenn man verstanden hat, warum das ausreichend sein kann, sonst kann man auch das noch relativ einfach falsch machen.
Ohne Dir zu nahe treten zu wollen: Diese einfachen Dinge schafft jeder Anfänger! Umso erstaunlicher daß sie im Wikiartikel nicht einmal erwähnt werden.