Vær selvsagt forsiktig med hva slags type filer man tillater ved opplasting.
Variabelen $_FILES['userfile']['type'] inneholder MIME-typen til filen som blir lastet opp... iallefall det brukeren/nettleseren til brukeren påstår den er.
Kan utnyttes i forbindelse med svakheter ved inkludering av filer... http://www.foo.invalid/index.php?side=bilde.jpg
Dersom du skal laste opp f.eks bilder, bruk image_create_from_string() for å opprette et bilde fra den opplastede filen. Dersom det ikke fungerer, så er det ikke et bilde.
Lagre opplastede filer utenfor webområdet i filsystemet på serveren slik at det ikke er tilgjengelig fra web.