@gizemsiz;

xFactoria arkadaşın dediği gibi accept kodu ile yapabilirsiniz. Yalnız sadece html tarafında kontrol ile yaparsanız sistemde açık oluşturursunuz, ufak bir editleme ile php, cgi vb. gibi dosyalarıda upload edebilirler. Html tarafındaki acceptle birlikte yine php tarafındada ekstra kontrol yapmanızı öneririm.

Ayrıca öneri olarak, güvenliği daha iyi sağlamak adına php tarafında da sadece yüklenen dosya adının uzantısına göre değil mime_type'ına görede kontrol sağlamanızı öneririm. mime_content_type fonksiyonu yardımcı olacaktır.