Все, что может использовать ваш веб-сайт или приложение, это будут php-файлы (очевидно), любые исполняемые файлы и незаконные вещи, которые вы не хотите нести за хостинг.
Я бы внедрил белый список расширений файлов, который вы хотите разрешить пользователям загружать и проверять в зависимости от их типа MIME и расширения файлов, и написать политику о том, какие файлы можно и нельзя загружать на ваш сайт.
Я бы также сохранил IP-адрес и другие соответствующие данные вместе с файлом, на случай, если вам потребуется заблокировать использование или злоупотребление вашей системой. Это большая работа, но позволить пользователям загружать файлы на ваш сайт не стоит воспринимать легкомысленно.