Никогда, никогда не доверяйте $_FILES[«file»][«type»], так как это не значит ровным счетом ничего. Эти данные приходят из HTTP запроса, которые легко подделать. Проверяйте MIME-тип файла когда он уже лежит локально (php-либами или даже `file — ib image.jpg`.
Но и то, не факт, что там то, что вы определили. Заголовки так же можно подделать, а внутрь поместить php-код.
