Du solltest dir auf jeden Fall klar machen das Überprüfungen im Client (Browser) keine Sicherheitsrelevanz haben. Um das Skript aufzurufen muss man nicht das Formular benutzen und kann dann eventuelle Einschränkungen umgehen.
https://wiki.selfhtml.org/wiki/HTML/...t/Datei-Upload