Нужно как то обезопасить папку где будут хранится файлы залитые пользователями. Файлы - статика для сайтов, дизайнов (картинки, .css , .js , .flv , текстовые, файлы архивы). Все залитые файлы должны быть доступны через веб брацзер. Т е чтобы если был залит файл пхп или другой исполняемый (скриптовый) файл - чтобы его нельзя было запустить. Проверка типов файла(расширений) - не есть гуд метод, т к слишком не надежный. Какие еще есть методы?
То, что написал Useroff, не совсем корректно и может быть небезопасно! Строка Code: <Files ~ "*.(php)"> вообще не верна и вызовет 500 ошибку, а второй способ требует указания не только расширения .php, но и .php4 .php5 .phtml и других, если они указаны в конфигурационном файле Apache как расширения php-скриптов. Самый простой способ - написать Code: php_admin_value engine off в .htaccess, но такой способ сработает только для Apache. Для безопасности скрипта на любом веб-сервере, следует делать проверку расширения файла по принципу "белого списка" в самом php-скрипте, осуществляющем upload, и исключать загрузку файлов любых расширений, кроме явно разрешенных!