表单和DOM操作上的PHP安全性

假设一个人有一个运行标准HTML表单的PHP站点.攻击者决定使用Chrome开发者工具并添加DOM enctype =“multipart / form-data”和文件输入.

攻击者上传一个文件,如果它是病毒,它可能不会执行,但它仍在使用带宽/存储.这样做文件会进入PHP / tmp目录吗？难道这不会使每种形式都变得不安全,因为用户可以以任何形式上传文件吗？

如果有10万人将其添加到DOM并上传了一个随机的千兆字节文件,那么在更大的范围内呢？这不会暂时使他们的带宽和/或存储标记？