это означает что декларированный Mime может не соответствовать тому что реально передано. и PHP это не проверяет.
Как его проверить на клиенте?
клиент его передает
И как проверит на сервере?
посмотреть содержимое файла.
в UNIX- системах это делает команда
file -i