Вы знаете, что это совершенно небезопасно, верно? Возможно, вам удастся избежать неприятностей в интрасети только с доверенными пользователями, но в противном случае этот код гарантированно доставит вам неприятности.
file ['name'] не может содержать ничего пригодного для использования в качестве имени файла, и злоумышленник может легко установить для него что-то, включающее часть пути '..', чтобы перезаписывать файлы вне папки загрузки. И, загрузив файл с расширением .php, они, скорее всего, смогут выполнить произвольный код на вашем сервере.
Если вы вообще используете файл ['name'], он должен быть строго очищен (например, удалить все не алфавитно-цифровые символы и добавить соответствующее расширение файла), и вам придется иметь дело с возможностью не получить имя файла вообще (в этом случае вы должны будете составить его, например, из случайных чисел).
'echo $ path' также предоставляет HTML-инъекцию, приводящую к атакам с использованием межсайтовых сценариев.
addlashes () не защищает вас от обхода каталога или внедрения HTML. Он также не может корректно экранировать строки SQL, что и было его первоначальной целью. Хорошее практическое правило заключается в том, что любое приложение, использующее addlashes () (явно или неявно, с помощью magic_quotes), делает Doing It Wrong.