Некоторые клиенты / браузеры могут использоваться с использованием специально созданных изображений (хм ... IE). Я бы сказал, что вы в основном в порядке, пока вы пишете тег и очищаете входные данные вашей базы данных .
Кроме того, если вы хотите сканировать пользовательский контент на наличие вирусов, можно использовать сканер командной строки, например, предоставленный NOD32, и т. Д., Но я думаю, что он слишком ресурсоемкий для веб-сайта.