До місцевих хакерів питання, розглядаю питання завантаження зображень на сервер, як правило, послідовність реалізації завантаження:
1. html-форма, (для реалізації вибору файлу зображення з домашнього ПК)
2. Обробник форми
2.1. Бажано Перевірити об'єм завантажуваного файлику, скоріше для оптимізації ресурсу серверу.
В обробнику форми логічно припустити є необхідність перевірити коректність завантаження зображення в плані веб-безпеки, виключивши можливість завантаження шкідливого скрипту
2.2. завантажувати лише тип файлу зображення (наприклад, jpg, png...)
2.2. організувати попереджувальне повідомлення, якщо файл має розширення .php
Тут питання
2.3. Кажуть, Бажано надати завантажуваному зображенню своє локальне імя, знову ж цілях безпеки, а навіщо???
3. Якщо все гаразд, перевірку пройдено завантажити файл зображення на сервер, в якусь там відповідну папку.
4. Дані про місце збереження зображення і відповідні дані власника зображення завантажити в таблицю даних Бази Даних.
P.S. можливо що пропустив, буду вдячний, якщо хтось взагалі скоректує послідовність чи структуру чи необхідність елементів організації завантаження