其实识别图片木马是很困难的，可以在一张正常的图片里加入一句话木马。
但是只要做到图片不会被执行，你的web服务器没有古老的解析漏洞，你的web程序不存在简单的包含漏洞，那么图片木马是基本可以防止的。
                            

题主可以参考这个问题：
《php的mime处理问题》
单纯通过后缀名判断上传文件的类型肯定是不安全的，可以采取mime类型判断或者读取文件头字节来判断是否为图片。更甚者，题主可以用GD库来处理上传的图片。
我们现在系统的操作方法是先通过mime判断上传文件类型，如果为图片则通过GD函数处理生成thumbnail，同时保存origin图片文件。