1. name - アップロード元のファイル名

送信元から送られてくるファイル名が入りますが、これはあまり信用してはいけません。
悪意のあるファイル名の送信により、プログラム上で対策を行わないと上位ディレクトリのファイルにアクセスされる危険性もあります。
また、ファイル名がマルチバイトである場合、ファイルシステムによってはアクセスが不可能であるかまたは困難となる可能性があります。
これを回避するために、Transferビヘイビアのtransfer()メソッドを、モデルが同名のメソッドを実装することによりオーバーライドする必要があります。
具体的な実装に関しては、docs/TUTORIAL at from davidpersson/media - GitHubを参考にしてください。

2. type - MIMEタイプ

MIMEタイプが入りますが、マニュアルにもある通り、送信側から送られてきたヘッダーの内容がそのまま入るので、これは信用できません。
Mediaプラグインは、上述のmmライブラリを使ってMIMEタイプを自動解析します。
MIMEタイプの解析の方法は様々ありますが、例えばFileInfoなどを使って解析することができます。
これはmmのMime_Typeの設定で変更することができます。

また、解析済のMIMEタイプを用いて、checkMimeType*3バリデーションが使用できます。

3. size - ファイル容量（バイト）

ファイルのバイト数が入ります。
PHPの設定によりファイルサイズも制御できますが、アップロードされるファイルの種類によってファイル容量を抑制する場合は、アプリケーション側で処理をする必要が出てきます。
これをMediaプラグインはcheckSizeバリデーションで行います。

4. tmp_name - 一時ファイルとして保存されたアップロードファイルのパス

アップロードされたファイルは、一時的なファイルとしてファイルシステムに保存されます。（/tmpや、C:\TEMPなど）
これをPHPアプリケーションが取り扱えるディレクトリにコピー、または移動する*4ことによって、アプリケーションがはじめてそれを単純なファイル
として操作することが可能になります。
なお、移動先はMediaプラグイン設定のtransferになります。（後の記事で説明）

5. error - アップロードに成功したか（エラー内容）

PHPのエラー定数を用いて判別しますが、要は

• ファイルがアップロードされていないか
• アップロードされたファイルが壊れていないか
• PHPなどの設定上の制限を満たしているか
• その他システムエラーが起きているか

などの場合分けです。
アップロードされていない、もしくは正しくアップロードが完了していない場合、Mediaプラグインはこれを無視します。

ファイルの場所

もしシステムファイルにアクセスできたり、または特定のディレクトリにアップロードファイルが書き込まれることがあったら、非常に危険な事態に陥る可能性があります。
これを検証するために、MeidaプラグインのcheckLocationバリデーションが利用できます。例えば、/tmp、APP/tmp、APP/webroot/media（MEDIA定数）等を指定します。

ファイルのアクセス権限（パーミッション）

移動元のファイルは読み込み可能であり、移動先のディレクトリは書き込み可能である必要があります。
そうでない場合、アップロードが必ず失敗することは想像の範疇だと思います。
これは、MediaプラグインでcheckAccessバリデーションを使用することで検証できます。

また、移動元のファイルにもし実行可能属性が付いていたらどうでしょうか。
そうなる状況はあり得るかという疑問はありますが、実際共有サーバーなどで/tmpなどに悪意のある操作をされることは想定できます。
これを検証するために、MediaプラグインにはcheckPermissionバリデーションが用意されています。

拡張子

拡張子そのものを制限します。これはMIMEタイプでapplication/octet-streamを許可した場合など、与えられた拡張子がアプリケーションの要件にあったものかを制限します。
これはcheckExtensionバリデーションがMediaプラグインに用意されています。

ピクセル数

総ピクセル数を制限します。
総ピクセル数が大きい物をリサイズする時に、メモリを非常に多く浪費します。
これを制限しないと、PHP、またはサーバーのメモリ限界を超えることになり、最悪ハングアップすることもあります。
また、このチェックではMediaプラグインのcheckPixelsバリデーションが利用できます。