Lembro-me de ver uma exploração de uma função de upload de imagens, que consistia em ocultar códigos php maliciosos dentro de uma imagem tiff.

Estou criando meu próprio script de upload de imagens e suponho que terei que me proteger dessa possibilidade. Exceto que eu não tenho ideia de como isso funcionaria. Alguém sabe como um shell php escondido dentro de uma imagem se executaria? Ele precisaria ser carregado de uma certa maneira?

Obrigado.