Zu 1 :
Was du jetzt genau willst habe ich leider nicht verstanden. Was ich aber dazu zu sagen habe ist, dass ein Uplad von html bzw php definitiv ein hohes Risiko birgt.
Es ist allerdings nur ein Sicherheitsrisiko, wenn der Browser bzw. der Server die Datei parsed. Deswegen möchte ich ja, dass bei allen Dateien ein Download erzwungen wird. D.h., dass nicht die HTML Seite im Browser angezeigt wird, sondern ein Speicher-Dialog erzwungen wird. Mit der Ausnahme von Dateien wie .png, .jpg usw. (dafür erstelle ich dann eine Whitelist)
Der Vorteil daran ist, dass es keine Formateinschränkungen für den Uploader gibt.
Hmm es kann sehr unsicher sein, wenn du die Inhalte des Archives nicht prüfst. Am besten nimmst du dir eine White-List mit der du die Inhalte prüfst und nur die Dateien zulässt die du auch tatsächlich auf dem Server haben willst.
Besonders schwer wird das ganze nicht sein.
Gut, dann werde ich mich mal etwas näher erkundigen. Falls du gute Links zum Thema hast, nur her damit! :)