zaten hiç bir sistemde %100 güvenlik olmuyor bir şekilde en büyük portallarda bile (örn: mynet) açık oluyor. ama bunlarla sadece siz önleminizi alıyorsunuz.
zararlı dosya dediğiniz php ile yazılmış sistemin bilgilerini çekmeye veya zarar vermeye çalışan web programları. bazı sistemler sadece uzantıya bakıyor bu çok yanlış. php uzantısını jpg yaptığında sisteme yükleyebilir zararlı dosyayı.oysaki mime-type larını kontrol ederek ne kadar uzantı değiştirsede mime-type direk dosyanın tipine bakıyor.