1. Já to tam tedy zřetelně vidím: "některé PHP funkce lze donutit k tomu, aby pracovaly v prostoru jiného uživatele, a to i přesto ... že to direktiva open_basedir výslovně zakazuje".
2. Můžete tedy to bezpečnostní riziko rozvést? Funkce tempnam() dovoluje vytvořit soubor s názvem obsahujícím .php. Ale co z toho, když např. pomocí fopen() lze vytvořit soubor s libovolným názvem?
3. Funkce getimagesize() se rozhoduje podle obsahu souboru a ne podle jeho názvu. Před tím, než něco napíšete, byste si měl ověřit fakta - buď pohledem do zdrojových kódů PHP nebo alespoň pouhým vyzkoušením <?php getimagesize("obrazek"); ?>, které pochopitelně vrátí hodnoty na základě obsahu souboru.