komple bir sistem olarak bakmak gerek. siz mesela bir dosya upload etseniz. icinde <?php tagi olmasa. ama kodladiginiz yapi get ten gelen parametrelerden dolayi localdeki herhangi bir dosyayi cagrilmasi saglanabilir.

siz mesela a.jpg upload ettirmissinizdir. icerisinde hic resim bilgisi yoktur mesela

echo "deneme";

vardir.

ama yapiniz itibari ile kodlamada baska hatalariniz vardir. index.php?Sayfa=/images/a.jpg

diye cagirinca mesela gidip bu dosyayi include ediyordur klasordeki php ler gibi

gibi gibi.

guvenlik komple bir sistemdir yani. sadece dosya uzantisina takilip paranoya olmamak lazim.

ebook seklinde bulabilirsiniz, PHP.Architect Zend.PHP.5.Certification.Study.Guide ingilizce ama tavsiye ederim. yeterli ve abartisiz olmayan duzeyde sertifika egitimine yonelik tum puf noktalari anlatmis.Zaten İngilizcesi olmayanlar için video eğitim şeklinde örnek uygulamalari ile anlatmistim.