Solange du keine chmod-Rechte vergibst, die hochgeladenen Dateien auszuführen, dann brauchst du dir keine Sorgen zu machen.
Und auch php-Dateien werden nicht tatsächlich ausgeführt. Perl über CGI dann schon eher. Kontrolliere aber einfach den Dateiheader oder benenne die hochgeladenen Dateien vor dem speichern um.

Theoretisch kann übrigens auch jede Datei mit einer x-beliebigen Dateiendung php-Code enthalten. Die Endung ist also eine Frage der Servereinstellung.

Lasse den Nutzer doch einfach nicht per HTTP auf diese Dateien zugreifen. Problem gelöst.