[PHP] code injection w obrazku JPEG Opcje

[matijas6113]

Witam,
Jest to mój pierwszy post i temat na tym forum. Otóż posiadam mała stronke na serwerze kolegi, która służy mi i znajomym do uploadowania małych plików na serwer tak aby każdy miał do nich dostęp (szkolne dokumenty, zdj itp). Uczę się php jednak nie wiem dokładnie jak zabezpieczyc strone. Upload wygląda tak ze ktoś uploaduje plik przez <form> i pole <input type="file">. Następnie skrypt php zapisuje go na serwerze w katalogu o nazwie (losowe ID z 9 znaków) a w folderze plik którego nazwa zostaje takze zmieniona na nazwe ID + . + rozszerzenie pierwotne pliku. Nazwa pierwotna zostaje zapisana jako tytuł pliku i zostaje dodatkwowo "konwetowana" htmlspecialchars(). Dodatkowo mozna jedynie wrzucac pliki o rozszerzeniach jpg, png, rar, txt innych nie przyjmuje. To taki krótki opis strony.

Teraz problem:
Ktoś wrzucił plik o nazwie *.php.jpg i jest to plik php zapisany pod rozszerzeniem jpg więc trafił na moją strone, kiedy klikne aby otworzyc ten plik na stronie otwiera sie jednak nic nie ma (wiadomo bo to nie zdj).

kod php tego pliku:

"mój temat jest za długi więc kod podaje w linku"
http://www22.zippyshare.com/v/77200708/file.html

I teraz moje pytanie ponieważ nie umiem zaczaić: jakie ten kod ma zadanie? czy ten kod był w stanie zadziałać jeśli był otwarty jako plik jpg na stronie?

z góry dziękuje za pomoc i przepraszam za ewentualne błedy.

Powód edycji: [Daiquiri]: Temat & Otwieram