PHP - Seguridad en imagenes php

if ($HttpVars->TraerPost('envio') != '') {

	$pathabs1 = "";

	$pathabs2 = "";

	$nombre = $HttpVars->TraerPost('nombre');

	$sql="SELECT nombre from tbl_productos where nombre = '" . $nombre . "'";

	$result = mysqli_query( $conexion, $sql );

	if($result->num_rows > 0) {

		$existe = 1;

	}else{

		$archivo1=$_FILES['imgch']['tmp_name'];

		$nomarchivo1=$_FILES['imgch']['name'];

		if (is_dir( PATHIMAGEN ) == false) {

			mkdir( PATHIMAGEN );

		}

		$directorio = PATHIMAGEN ;

		$archfinal1 = $directorio . $nomarchivo1 ;

		if (file_exists ($archivo1)){

			$pathabs1 = "" ;

			move_uploaded_file ($archivo1, $archfinal1 );

			if (file_exists ($directorio . $nomarchivo1))

			{

				$patharch1 = $directorio . $nomarchivo1 ;

				$pathabs1=str_replace("\\","\\\\",$patharch1);

			}

		}

		$nombre = $HttpVars->TraerPost('nombre') ;

		$keywords = $HttpVars->TraerPost('keywords') ;

		$chkpubli = $HttpVars->TraerPost('chkpubli') ;

		$destacado = $HttpVars->TraerPost('chkdestacado') ;

		$oferta = $HttpVars->TraerPost('chkoferta') ;

		if ($chkpubli == "") $chkpubli = 0;

		if ($destacado == "") $destacado = 0;

		if ($oferta == "") $oferta = 0;

		$dcorta = $HttpVars->TraerPost('dcorta') ;

		$dlarga = $HttpVars->TraerPost('dlarga') ;

		$tips = $HttpVars->TraerPost('tips') ;

		$dosis = $HttpVars->TraerPost('dosis') ;

		$codigo = $HttpVars->TraerPost('codigo') ;

		$precio = $HttpVars->TraerPost('precio') ;

		$id_cate = $HttpVars->TraerPost('cmbcategoria') ;

		$id_plaga = $HttpVars->TraerPost('cmbplaga') ;

		$id_subcate = $HttpVars->TraerPost('cmbsubcate') ;

		$sql="INSERT into tbl_productos( nombre, keywords, codigo, precio, dcorta, dlarga, tips, dosis, pathch, filech, destacado, oferta, publicado)  VALUES " .

		                         "('".$nombre."','".$keywords."','".$codigo."',".$precio.",'".$dcorta."','".$dlarga."','".$tips."','".$dosis."','".$pathabs1."','".$nomarchivo1."','".$pathadj1."',".$destacado.",".$oferta.",".$chkpubli.")";

		$result = mysqli_query( $conexion, $sql );

		$agregada = 1;

		//grabo las categorias en la tabla relcateprod

		$sql = "SELECT MAX(id_prod) as id_prod FROM tbl_productos";

		$result = mysqli_query( $conexion, $sql );

		$myrow = mysqli_fetch_assoc($result);

		$id_prod = $myrow["id_prod"];

		$idcate=$HttpVars->TraerPost('id_cate');

		while (list ($key,$val) = @each ($idcate)) {

			$sql = "INSERT INTO tbl_relcateprod(id_prod, id_cate) VALUES (".$id_prod.",".intval($val).")";

			$result = mysqli_query( $conexion, $sql );

		}

		$idplaga=$HttpVars->TraerPost('id_plaga');

		while (list ($key,$val) = @each ($idplaga)) {

			$sql = "INSERT INTO tbl_relplagaprod(id_prod, id_plaga) VALUES (".$id_prod.",".intval($val).")";

			$result = mysqli_query( $conexion, $sql );

		}

	}

}

<div class="form-group">

  <label for="imgch">Imagen del producto</label>

  <input type="file" id="imgch" name="imgch">

</div>

$extensiones = array('image/jpg', 'image/jpeg', 'image/png');

$tamanyo_maximo = 1024 * 1024 * 4;

$error = $_FILES['archivo']['error'];

if ($error === UPLOAD_ERR_OK) {

     if (in_array($_FILES['archivo']['type'], $extensiones)) {

          if ($_FILES['archivo']['size'] <= $tamanyo_maximo) {

               $directorio = 'C:/xampp/htdocs/archivos/';

               $archivo_subido = $directorio . basename($_FILES['archivo']['name']);

               if (move_uploaded_file($_FILES['archivo']['tmp_name'], $archivo_subido)) {

                    echo 'Se ha subido el archivo correctamente';

               } else {

                    echo 'Ha ocurrido un error mientras se movía el archivo';

               }

          } else {

               echo 'El archivo excede el tamaño máximo de ' . $tamanyo_maximo . ' bytes';

          }

     } else {

          echo 'La extensión es incorrecta. El archivo no ha podido subirse';

     }

} else {

     if ($error === UPLOAD_ERR_INI_SIZE || $error === UPLOAD_ERR_FORM_SIZE) {

          echo 'El tamaño del archivo sobrepasa el máximo permitido';

     } elseif ($error === UPLOAD_ERR_PARTIAL || $error === UPLOAD_ERR_NO_FILE) {

          echo 'El archivo no ha podido subirse correctamente';

     } elseif ($error === UPLOAD_ERR_NO_TMP_DIR) {

          echo 'No existe la carpeta temporal, contacta con el proveedor del hosting';

     } elseif ($error === UPLOAD_ERR_CANT_WRITE || $error === UPLOAD_ERR_EXTENSION) {

          echo 'Ha ocurrido un error durante la subida del archivo';

     }

}

$extensiones = array('image/jpg', 'image/jpeg', 'image/png');

if (in_array($_FILES['archivo']['type'], $extensiones)) {

$archivo1=$_FILES['imgch']['tmp_name'];

		$nomarchivo1=$_FILES['imgch']['name'];

		if (is_dir( PATHIMAGEN ) == false) {

			mkdir( PATHIMAGEN );

		}

		$directorio = PATHIMAGEN ;

		$archfinal1 = $directorio . $nomarchivo1 ;

		if (file_exists ($archivo1)){

			$pathabs1 = "" ;

			move_uploaded_file ($archivo1, $archfinal1 );

			if (file_exists ($directorio . $nomarchivo1))

			{

				$patharch1 = $directorio . $nomarchivo1 ;

				$pathabs1=str_replace("\\","\\\\",$patharch1);

			}

		}

$extensiones = array('image/jpg', 'image/jpeg', 'image/png');

if (file_exists ($archivo1) && in_array($_FILES['archivo']['type'], $extensiones)) {

$extensiones = array('image/jpg', 'image/jpeg', 'image/png');

$archivo1=$_FILES['imgch']['tmp_name'];

$nomarchivo1=$_FILES['imgch']['name'];

$tipoarchivo1 = $_FILES['imgch']['type'];

if (is_dir( PATHIMAGEN ) == false) {

    mkdir( PATHIMAGEN );

}

$directorio = PATHIMAGEN ;

$archfinal1 = $directorio . $nomarchivo1 ;

if (file_exists ($archivo1) && in_array($_FILES['imgch']['type'], $extensiones)) {

    $pathabs1 = "" ;

    move_uploaded_file ($archivo1, $archfinal1 );

    if (file_exists ($directorio . $nomarchivo1))

    {

        $patharch1 = $directorio . $nomarchivo1 ;

        $pathabs1=str_replace("\\","\\\\",$patharch1);

    }

}

else {

    echo 'La extensión es incorrecta. El archivo no ha podido subirse';

$tipoarchivo1 = $_FILES['imgch']['type'];

if (file_exists ($archivo1) && in_array($_FILES['imgch']['type'], $extensiones)) {

$_FILES['imgch']['type']

$tipoarchivo1

<?

require_once("include/includes.php");

$imagespath = "imagenes/";

$username = "" ;

$password = "" ;

$claveinvalida = "NO";

$modificado = $HttpVars->TraerGet('modificado');

if (isset($_POST['username']) ) {

	$username = $_POST['username'] ;

	$password = $_POST['password'] ;

	$claveinvalida = "SI";

	$sql = "SELECT * FROM tbl_admin WHERE usuadmin='".$username."' AND clave ='".$password."' AND publicado =1";

	$result = mysqli_query($conexion, $sql);

	if ($result->num_rows > 0) {

		while($row = mysqli_fetch_row($result)){

			//$idUsuarioAdmin = $row['id_contacto'];

			$_SESSION["idUsuarioAdminSID"]=$row['id'];

			$_SESSION["idUsuarioAdminSUser"]=$row['usuadmin'];

		}

		$_SESSION['adminValido']  = "si" ;

		header("Location: listadoproductos.php");

	} else {

		$password = "";

	}

}

?>

<form class="form-signin" method="post" action="index.php">

    <? if ( $claveinvalida == "SI" ) { ?>

    <div class="alert alert-danger" role="alert"> <span class="glyphicon glyphicon-exclamation-sign" aria-hidden="true"></span> <span class="sr-only">Error:</span> Los datos ingresados son incorrectos </div>

    <? } ?>

    <div class="input-group"> <span class="input-group-addon"><i class="fa fa-envelope-o fa-fw"></i></span>

      <input class="form-control" id="username" name="username" type="text" value="<? echo $username;?>" placeholder="Nombre de usuario" >

    </div>

    <div class="input-group"> <span class="input-group-addon"><i class="fa fa-key fa-fw"></i></span>

      <input class="form-control" type="password" id="password" name="password" value="<? echo $password;?>" placeholder="Password">

    </div>

		 <input type="submit" class="btn btn-primary" value="INGRESAR">

  </form>