La extensión del archivo .. no es "realmente" segura para evitar que un archivo x.jpg sea un tipo de archivo jpg .. podría ser un .exe "cambiado" de extensión (de nombre) ...

Para eso .. cuando subes un archivo tienes a tu disposición la variable:

$_FILES['archivo']['type'] ..

que te devuelve el formato MIME de ese archivo .. Algo tipo:

image/jpeg
image/gif
application/nosecuantos

o similar ..

Es más seguro este método que "obtener" la extensión que tiene de nombre el archivo.

Un saludo,