Предполагая, что .zip будет распакован, в конечном итоге вы должны будете убедиться, что каталог, в который они распакованы, недоступен для браузеров клиентов (с .htaccess или путем размещения его вне корневого веб-каталога), и даже в этом случае Я по-прежнему следил за содержимым распакованного .zip-файла, чтобы убедиться, что в нем нет ничего, что могло бы оказаться вредным (php или другие файлы, запускаемые сервером, html-подделки).
Еще одна проблема, я думаю, upload_max_filesize установленный в php.ini, вы можете убедиться, что он может быть достаточно большим, чтобы соответствовать вашим целям, прежде чем начать кодирование.
редактировать: также читать ответ Сарнольда ;)