Hallo,

Wie werden diese Dateien "weiterverarbeitet", d.h. was wird mit diesen Dateien gemacht? Daraus resultieren erst die möglichen Gefahren.

Nicht ganz einverstanden. Das Wort "weiterverarbeiten" kann falsch aufgefasst werden.
Akzeptiert er einen Upload eines php Scriptes,
und ich erfahre den Pfad/Namen,

das ist Weiterverarbeitung.

kann ich das Script ausführen,

Nein, in den meisten Fällen nicht. Das ist Weiterverarbeitung.
Was nutzt Dir die Angabe

/pfad/zu/verzeichnis/das/nicht/über/http/erreichbar/ist

Nichts. Keine Ausführung möglich. Keine Gefahr.

Deswegen will ich wissen, was mit den Dateien gemacht wird. Werden sie nur irgendwo archiviert, dann gibt es überhaupt keine Gefahr.

Es ist also schon wesentlich, dass bestimmte Dateitypen gar nicht beim Upload akzeptiert und gespeichert werden.

Kann man machen. Wird man machen wollen. Ist nicht unbedingt notwendig. Könnte unerwünscht sein, auch dafür gibt es Anwendungsszenarien. Hier könnte man Nicht-Klartext-Dateien aussondern. Möglicherweise gibt es einen LUA-Skript-Validator. Damit könnte man alles, was kein LUA-Skript ist, verwerfen - was in jedem Fall sinnvoll wäre.

Freundliche Grüße

Vinzenz