>「ブラウザから渡されたファイル名は汚染リスクがある」と書いてあったのですが、 >この意味は、「ブラウザから渡されたファイル名をそのまま使用してはいけない」 >ということだけでしょうか？ はい。 >書きかえるファイル名は何でも良い？ はい。重複さえしなければいいです。データの（バイナリの）ハッシュ値を使えば「中身が同じ画像なら同じファイル名」になるので無駄がなくなる（ことが期待できる）というのはありますが、二次的な話です。バイナリでなくmicrotime()やアップロードユーザ名+追番などのハッシュ値を使うこともありますしね。 >上記のように、推測されやすいファイル名でも問題ない？ 問題ないです。隠すことが主目的ではありませんので。 本当に隠蔽したいなら、httpでアクセスできない場所（DocumentRootより上の階層とか、.htaccessでアクセス不能にしたディレクトリ）に置いて、phpスクリプト経由でしかアクセスできなくします。httpでアクセス可能な場所に置くのであれば、アクセスされることは想定すべきです。