1. Dateiendung überprüfen, was aber vermutlich extrem unsicher ist und eine Sicherheitslücke mehr darstellt!

Wieso Sicherheitslücke?

2. MIME-Typ überprüfen, nur wie geht das? Ist das relativ sicher?

Ich kann dir einen beliebigen Mime-Type senden. Ob der Browser dann das richtige damit macht, steht allerdings auf nem anderen Blatt ;)

Sonst noch Möglichkeiten (evtl. mit getimagesize() o.ä.)?

Da diese Funktion den Dateiheader ausliest, weil nur da drin die Bildgrösse zu finden ist, dürfte das recht sicher sein, allerdings nur für die unterstützten Bildformate.

Allerdings ist es kein Problem, ein ausführbares Programm in einem Bild einzubetten