Dos puntos:

1. $HTTP_POST_FILES está obsoleta, ahora se usa $_FILES.
2. Lo que te comentan anteriormente lo puedes ver con $_FILES['userfile']['type'], el tipo de las imágenes JPG es image/jpg o image/jpeg.

Respecto a la seguridad, hay un bug explotable si haces includes tomando variables desde la url, si haces cosas como dominio.com/ver.php?seccion=portada.php donde tu código es:

include($_GET['seccion']);

se puede inyectar código PHP en la descripción de las imágenes (dentro de la imagen) para que se explote de la forma:

dominio.com/ver.php?seccion=el/path/a/la/imagen/subida.jpg

para que cargue la imagen como si fuera archivo PHP y por consiguiente explotando el código.