Te paso un consejo que me dieron una vez. No conviene confiar en los Mime-types, porque no son muy difíciles de alterar/trampear. No sé cómo se hace, pero después también lo leí en otro lado. Para validar la extensión, es mejor tomar el nombre del archivo (que incluye la extensión), y fijarse que las últimas 3 letras sean "jpg", "gif", "png" (o lo que necesites subir).

Ojo, porque que te suban cualquier archivo es potencialmente peligroso. Pensá que si alguien consiguiera subir al servidor un script php después lo podría ejecutar con el navegador. Y ese archivo podría ser inofensivo o borrarte todo el sitio... En fin, no es para crear paranoia, pero sí para que tomes todos los recaudos necesarios.

Suerte