Hmm ich weiss nicht genau wie sicher das ganze ist, aber einen Upload von PHP/HTML Dateien zu erlauben würde ich mich persönlich nicht trauen :)
Mit folgendem Inhalt einer .htaccess, parsed der Server kein PHP (CGI) mehr. (Verzeichnisauflistung wird auch verhindert)
-------.htaccess-----------
php_flag engine off
Options -ExecCGI -Indexes
---------------------------
Das Problem ist nur, dass ich erstens von so einem "Serverzeugs" nur wenig Ahnung habe. D.h. es ist eine vielleicht unvollständige Blacklist. Daher würde ich eine allgemeine Lösung vorziehen, mit der halt alle Dateien (außer die, die ich angebe) geparsed werden und alle andere einfach an den Browser geschickt werden (am besten mit Download-Dialog).