e se uso opera?
e se domani esce un nuovo browser?

Devo stare dietro all'applicazione ogni volta che uno usa un browser diverso..

Certo non è un controllo di sicurezza, ma almeno limita i danni.

Anche con il filetype hai lo stesso problema, perchè proprio il browser invia la stringa quindi puoi fargli mettere come attributo "image/jpeg" anche se invii un exe.

Solo che cosi funziona solo con i browser che tu hai contemplato, nell'altro modo funziona sempre.

per il discorso di JPEG e jpeg esiste la funzione strtolower.

ciao