Если только в модулях, в аплоаде кривом, но обычно проверяют расширение, единственное могут забыть вписать .htaccess . А так все вредоносные расширения прописываем обработать как текст в .htaccess и это уже как минимум на 99% защитит. Даже если через курл подменять content-type , или другое. Можно даже для защиты делать массив в котором ключ это расширение файла, а значение его тип
© 2026, JohnCMS