Быть осторожней с php_exif.dll(enable-exif) и с EXIF тэгами в целом.
Magic_quote_gpc перевести в положение on, что поможет избежать "poison null byte".
Резать "<?","?>","<--","-->","<?php","<script language = "php">","<%","%>" из содержимого картинок, проверять заголовки.
В любом случаи через .htaccess запретить выполнение php-скриптов.