@Nemutagk gracias por la aclaración del getimagesize.

@glassverd aunque los usuarios no se registren tu puedes iniciar una sesión por ellos, ya que si les vas a permitir manipular el contenido del servidor, debes controlar lo que hacen y lo que no. aun así nada de lo que he dicho requiere un sistema de identificación de usuario. pero en tu lugar intentaria marcar a los usuarios que intenten hacer mal uso del servicio ya sea por IP o MAC (nada de esto es definitivo pero ... cuanto mas dificil se ponga, mejor) ya que no les vas a requerir registro.