Безопасность файлового обменника

[niockasd]

Парни, написал небольшой скрипт который закачивает файл на мой сервер и возвращает ссылку на его скачивание

Код:

<?php
$unicfilename = uniqid('file_') . '.tmp';

$usergaent = $_SERVER['HTTP_USER_AGENT'] ;

$uploaddir = $_SERVER['DOCUMENT_ROOT'].'/transfer/files/';			
$blacklist = array(".phtml", ".php", ".php2", ".php3", ".php4", ".html", ".htm", ".cgi", ".pl", ".fcgi", ".fpl", ".shtml");
$size_maximum = 31457280;													

$uploadfile = $uploaddir . basename($_FILES['userfile']) . $unicfilename;
$size = $_FILES['userfile']['size'];

if ($size > $size_maximum) exit('filesize!');
if ($usergaent != 'UPLOADER_FILES') exit();

foreach ($blacklist as $item)
    if(preg_match("/$item\$/i", $_FILES['userfile']['name'])) exit('filetype!');
	
	
$siteload = 'http://site.ru/transfer/files/'.basename($_FILES['userfile']).$unicfilename; 

if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile   ) ) {
echo '{"url":"'. $siteload .'"}';
} else {  
   echo "error";
}

?>

почитал про безопасность, решил отбросить все скрипты + сохранение файла под собственным расширением, насколько данный подход безопасен ?
На что еще нужно обратить внимание..

В теории я могу и проверку на расширение даже выкинуть?

[ADSoft]

И зальют тебе Шелл. Берём php файл, переименовывает ему расширение например в .crc или любое какое хотим и все...

[niockasd]

ну это хорошо, а как бороться....
Я так понимаю, если уже принудительное изменение расширения от шела не спасет то уже нечего не спасет...

В htaccess отключил скрипты в директории хранения файлов. Они как текст показываются. Но опять таки там все на расширение завязано.