si con la extensión basta (sobretodo asegurar que no sea *.php), y si lo quieres más seguro valida el mime del archivo.

por ejemplo es el error más común entre novatos el tener formularos de upload de imagen y no validen la extensión.

validar el mime sirve para garantizar un formato especifico, pero actualmente no le veo caso practico.