代表的な攻撃方法を知れば、幾つか対策が立てられるかと思います。

【拡張子がphpのファイルをアップロードしてくる攻撃】
Webサーバーから直接画像へのアクセスが可能な場合は、直接コードが実行されてしまいます。

対策方法としては、まず、PHPファイルのアップロードを禁止しておきましょう。
また、特定のディレクトリ上で.phpへのアクセスを禁止させます。
(apache側でアクセス制限の設定を行う）

【アップロードファイルの中にPHPコードを埋め込む攻撃】
PHPコードが埋め込まれているかを確認する方法はありますが、正確に判断するのは難しいです。

アップロードされたファイルの中身をfile_get_contents()で取り出した後、以下の処理をかけてやれば、phpタグがあるかどうかチェックする事が出来ます。
＊誤認識される可能性もあります。

lang
1mb_regex_encoding('ASCII');
2if (mb_eregi('<\\?php', $data)) {
3//タグ <?phpを検出しました。
4}

また、これはショートタグ<? ?>には対応していません。