Hola,

Revisa las funciones htmlspecialchars() y parecidas, ya que tu campo comentarios esta abierto a escribir codigo HTML/Javascript nocivo. Fijate en la entrada ">a.gif . El fichero que subi se llama a.gif. Y puse esto en el comentario:

"><a href=http://www.forosdelweb.com>

Y asi tu link a ver el fichero se ha convertido en un link a foros del web, en donde se puede recibir el referer con tu nombre de usuario.

Y supongo que se podran hacer trastadas mas grandes pensando un poco la cadena a escribir.

Saludos.