tarkan3261 mysqli de pdo kadar güvenli diyenler var ama o konuyu çok bilmediğim için bişey diyemeyeceğim.

İlk olarak mutlaka dosya türü sınırlaması getirmelisin. Yoksa sisteme js dosyaları atıp sistemi ele geçirebilirler. Veya verilerini silebilirler falan. Aklıma ilk bu geldi.