Es könnte definitiv nicht schaden, den Dateinamen zu escapen, auch wenn mir keine konkreter Angriff einfallen würde.
IMHO kann man mit dem Skript beliebige Dateien in
Code:
$_SERVER["DOCUMENT_ROOT"]."/Programmierung/DaddysLittleHelpers/"
löschen (siehe
Notes von move_uploaded_file()).
Außerdem finde ich es merkwürdig, dass du die Datei verschiebst, um sie dann zu löschen. Wäre ein Check mit
is_uploaded_file() und ein darauf folgendes Hashen (und löschen) nicht einfacher?