file ve sql injection'a açık.. insert sql'i parametrik yapmanızda fayda var. imaj file ve directory'i string concat ile birleştirmeden önce normalize ediniz yoksa shell script yemeye açık orası.