Документы говорят:
Возвращает TRUE, если файл с именем filename был загружен через HTTP POST
Как $_FILES['blah']['tmp_name']
возможно, не быть результатом загрузки POST? PHP создал это имя файла.
Это полезно для обеспечения того, чтобы злоумышленник не пытался обманите script для работы с файлами, на которых это не должно быть работа - например, /etc/passwd.
Я понимаю, что я должен тщательно проверить содержимое и размер файла. Но как может злоумышленник контролировать все temp filename загруженного файла?
Или выполняет is_uploaded_file()
некоторые другие проверки?
Спасибо, что пролил свет.