Chciałbym, by użytkownicy mogli wgrywać dowolny typ plików z wyjątkiem plików php
$HTTP_POST_FILES['plik']['type'] !== "application/octet-stream"
nie pomaga, bo przecież zip czy inne pliki mają ten sam typ "application/octet-stream". Czy można to sprawdzić jakoś inaczej niż tylko przez rozdzielanie nazwy i sprawdzanie rozszerzenia?

Pliki php to tylko pliki tekstowe, nie posiadają żadnej sygnatury wewnątrz więc jedyne sensowne wyjście to sprawdzanie rozszerzenia. Musisz też uważać na to, że czasami można wykonać kod php w plikach np html (jest to zależne od ustawień serwera i reguł w pliku .htaccess).

Samo wgranie nie jest problemem dopoki tego pliku nie wykonasz. Najlepszym zabezpieczeniem jest wrzucenie na subdomene ktora nie przetwarza zadnych jezykow skryptowych.