Kolla in Fileinfo:
http://se.php.net/manual/en/function.finfo-file.php
Med den funktionen kan du hämta ut MIME-typen på filen och kolla om den ingår i de typer av filer du vill acceptera. Det är mycket säkrare än att till exempel förlita sig på filändelsen. Du bör givetvis stänga av alla former av skript (framförallt PHP) i den mapp som filerna laddas upp till.