/var/www
Möglichst außerhalb der Document Root ablegen. Wenn das nicht geht, weil die Biolder direkt per HTTP zugänglich sein sollen, für das entsprechende Verzeichnis die Engine Off schalten, damit nicht aus Versehen Scripte geparst werden. Beim Upload mittels getimagesize() prüfen, ob es wirklich  Bilder sind.

Also z.B. /home/blabla/ oder wie meinst du? Wo?
Welche Engine auf Off? AllowOverride None?
Biolder? Na klar soll das ganze per HTTP erreichbar sein. Erkläre es bitte ein bisschen ausführlicher :)...

Da fehlt bestimmt noch die Hälfte

Ein paar Informationen mehr wären nicht schlecht. Können auch Links sein. Wenn ich diese selbt finden würde, dann würde ich nicht hier nachfragen.
Danke.

Gruß, Joe