Estas mal informado.

Y además ríes cuando dices que el archivo subido viene con sorpresa.

Realmente ese método que mencionas, supongo que se le ha ocurrido a algún hacker novel, No funcionaria como describes si el programador de la aplicación no pone de su parte,

:.........

Como dato interesante, cuando un archivo es creado para funcionar según su formato se define una característica denominada mime, generalmente los desarrolladores comprobamos los tipos mime de los archivos que han subido los usuarios para saber si los permitimos o no.

A ti que te gustan los temas "hacking", tal vez hayas escuchado hablar sobre inyección de código malicioso en componentes comunes, como crear un ejecutable a partir de una imagen usando themida, por ejemplo.

Si haces una compilación de este tipo, el archivo que obtienes tendrá un tipo mime del tipo ejecutable aunque el formato sea el de una imagen, por lo tanto con una sencilla validación de tipos mime todo el juego del hacker termina antes de empezar.


....:............

P.D.: si te gustan estos temas te comento que hay muchas otras formas de inyectar o ejecutar código en el servidor remoto, tu has comentado intuitivamente una, haciendo uso del método get pero para esto es necesario que el desarrollador de la aplicación pnga de su parte o bien que logres infectar el servidor para crear un archivo Ejecutable (PHP ) que realice la tarea que se te antoje.

Bueno, etc...

Saludos.