Dos puntos:
1.
$HTTP_POST_FILES está obsoleta, ahora se usa
$_FILES.
2. Lo que te comentan anteriormente lo puedes ver con $_FILES['userfile']['type'], el tipo de las imágenes JPG es
image/jpg o
image/jpeg.
Respecto a la seguridad, hay un bug explotable si haces includes tomando variables desde la url, si haces cosas como
dominio.com/ver.php?seccion=portada.php donde tu código es:
include($_GET['seccion']);
se puede inyectar código PHP en la descripción de las imágenes (dentro de la imagen) para que se explote de la forma:
dominio.com/ver.php?seccion=el/path/a/la/imagen/subida.jpg
para que cargue la imagen como si fuera archivo PHP y por consiguiente explotando el código.