poi non puoi limitare il controllo ai file php se vuoi che l'utente possa includere i file nella sua cartella perché potrebbe uploadare un file con istruzioni php ma estenzione casuale e poi includerlo con un file php (aggirando il controllo)