No se trata de que no permitas que el usuario deje de subir imágenes jpeg o gif.
Te respondo lo que no te dije antes, el ataque se puede hacer con cualquier tipo de archivo no necesariamente con jpeg.

La seguridad de tu sitio no debe depender en si el usuario se comporta y es bueno, si no en tu buena experiencia como desarrollador. Si eres experimentado no tienes porque cometer errores que generen vulnerabilidades ( a esto me refiero cuando digo que el programador pone de su parte).

Para terminar rápido, simplemente no hagas que se ejecuten los archivos del usuario en el servidor incluyendolos ( incluye,require) únicamente cargados y descargar los, si es una imagen puedes mostrarla en la página con su etiqueta HTML correspondiente sin temor a nada, pues lo que sucede es que el servidor enviara tal cual al cliente la imagen como respueta.

Me hubiera gustado escribir un poco mas pero me tengo que ir, errores ortográficos provocados por el corrector ortográfico de iPad, no es muy bueno sabes.