Se me olvidaba una maxima: no te fies de nada que venga de fuera del script. Ni parametros de URL, ni campos de formularios, ni nombres de ficheros, ni datos de la base de datos. Porque todo eso es susceptible de manipulacion maligna por parte de los indeseables crackers y lammers. Un claro ejemplo es el que ha puesto Cluster para el include() (que lo mismo que para el include es para un fopen).

No creas que porque has hecho una validacion javascript en tu formulario, eso no asegura que los datos que recibe tu script esten validados. O que el fichero que sube tu usaurio es una inofensiva imagen. Y asi con mas cosas.

Saludos.