Eigentlich sind die Dateien, die upgeloadet werden sollen vom Typ 'lua' (es handelt sich also um Lua Script Dateien). Da der MIME-Type unbekannt ist, werden diese als "application/octet-stream" übertragen.

Ich habe mich daher aktuell erstmal für die Variante entschieden, nur Dateien vom Typ "text/plain" zuzulassen. Allerdings muss der User dann vorher seine .lua Datei in eine .txt Datei umbenennen/umkopieren.

Könnte ich auch gefahrlos den direkten Upload der Lua Dateien zulassen?

Wie werden diese Dateien "weiterverarbeitet", d.h. was wird mit diesen Dateien gemacht? Daraus resultieren erst die möglichen Gefahren.

Nicht ganz einverstanden. Das Wort "weiterverarbeiten" kann falsch aufgefasst werden.
Akzeptiert er einen Upload eines php Scriptes,
und ich erfahre den Pfad/Namen,
kann ich das Script ausführen,
sofern mich nicht das Pech anderer Beschränkungen verfolgt.

Es ist also schon wesentlich, dass bestimmte Dateitypen gar nicht beim Upload akzeptiert und gespeichert werden.

Wesentlich ist, was der Server bei Request eines bestimmten Dateityps (/in einem bestimmten Pfad) tun würde.

mfg Beat