Upload post yoluyla shell atmışlardır hocam. Eğer kullanıcıya resim upload imkanı sağlıyorsanız PHP tarafında dosyanın sadece resim olduğunu muhakkak kontrol edin. Yoksa isteyen herkes, istediği dosyayı Upload edebilir.