IMHO ti conviene ricominciare dal codice del manuale ufficiale:

http://www.php.net/manual/en/features.file-upload.php

$tipi_consentiti deve contenere dei mime type, non delle estensioni, non usare copy(), utilizza move_uploaded_file(), non usare addslashes(), utilizza mysql_real_escape_string(),