Hi Beat!

Bis jetzt verschiebe ich die Datei per move_uploaded_file() in ein *Unterverzeichnis meines Projekts.

das heisst, es ist via http erreichbar?

ja

Das ist eventuell schlecht.
Entweder ausserhalb des docroot oder mit .htaccess schützen.
Andernfalls müsstest du zu diesem Zeitpunkt absolut sicher sein, dass jeder Request in dieses directorie nur die Datei ausliefern wird, oder sich nur auslieferbare Dokumente dort befinden.

Also würde bspw. eine .htaccess mit folgendem Inhalt

<FilesMatch ".*$" >
  ForceType application/octet-stream
  </FilesMatch>

ausreichen (es befinden sich nur die upgeloadeten Dateien in diesem Verzeichnis)?

Gruß Gunther