Hallo Sven!

Stimmt. Ich überprüfe nun die Dateiendung der hochgeladenen Datei. Ist diese ~= .lua wird die Verarbeitung abgebrochen.

Naja, ich kann weder der Prüfung des Mimetyps noch der Dateiendung irgendetwas relevantes abgewinnen. Die Dateiendung explizit nicht als ".lua" haben zu wollen erscheint mir widersinnig, wenn man Lua-Skripte behandelt. (Oder meint "~=" etwa "ungleich"...)

Ja, wenn man meint, sich ein paar Zeichen beim Eintippen sparen zu können ...! Ich meinte "ungleich".
Meine Überlegung war folgende:
Der User, der die Anwendung verwendet, hat die entsprechende(n) Datei(en) als lua Datei vorliegen. Für den User also kein extra Aufwand, um seine Datei uploaden zu können. Wenn ich nun andererseits nur Dateien mit der Endung .lua in mein Verzeichnis verschiebe, und dort den Zugriff auf lua Dateien per htaccess verbiete, bin ich auf der sicheren Seite was etwaigen Missbrauch per Zugriff/ Download anbelangt, und kann bei Bedarf aber immer noch per Script auf die Dateien zugreifen.

Zusätzlich habe ich in meine .htaccess ein
  <Files *.lua>
    Order allow,deny
    Deny from all
  </Files>
eingetragen. Ist das jetzt ein ausreichender Schutz?

Das wurde andernorts schon mal angesprochen: Lagere diese Dateien außerhalb des vom Web aus erreichbaren Bereichs. Diese Pauschalbehandlung "nichts, was hochgeladen wurde, kann runtergeladen werden", ohne dass explizit irgendwelche Prüfungen und Sonderfälle beachtet werden, hilft ganz gut gegen übersehene Lückenbildung.

Ja, sehe ich ein. Wobei ich dabei wieder vor der Frage stehe, wie ich was konfigurieren muss, damit mein PHP Script die benötigten Rechte hat.
BTW: Da habe ich doch noch etwas Interessantes im Archiv gefunden: http://forum.de.selfhtml.org/archiv/2003/12/t67386/#m385578 ;-)

Deshalb: Pauschal erstmal Dinge zu verbieten, und dann geprüfte Einzelfälle wieder aufzuweichen, ist die weitaus bessere Strategie, als Dinge gar nicht zu beachten, und nur für einzelne Fälle Verbote zu installieren.

Na dann bin ich doch langsam auf dem richtigen Weg (hoffe ich) :-)!

Vielen Dank nochmal für deine wirklich hilfreichen und ausführlichen Erklärungen!

Gruß Gunther