c'est pas un pb de droit de fichier ca ?

tu lance php en CGI ou en module apache ? si c'est en tant que module, l'utilisateur apache et php est le même => les 2 peuvent normalement accéder au répertoire temporaire d'upload. Si c'est en CGI, les utilisateurs peuvent être différent, et dans ce cas là, seul apache a les droits sur le répertoire temporaire...

sinon, même remarque que les autres : le code n'a aucune protection... meme si c'est dans l'administration ce n'est pas une raison, car c'est comme ca qu'un jour ou oublie de protéger une page importante sans faire attention qu'une des fonction sera peut-etre par la suite copiée/collée pour réutiliser dans une partie moins sécurisé... De meme, ne jamais se fier à la config d'un serveur pour la sécurité (comme les magic quotes par exemple...)