Ich vermute, Raktenwilli wird sich zum Thema noch äußern.

Klar.

Mit einem Shell-Zugriff - auch nur mit den beschränkten Rechten eines Benutzers - fallen mir 'ne Menge Möglichkeiten ein, damit Böses zu treiben.

Was bringt mir dann der vorige Upload meines bösen Scripts, wenn ich es nicht ausführen kann?

Erfahrung? Ein anderer tut es für mich. „Erfahrung“ heißt hier: DAS hat schon mal geklappt. (Und ist übrigens 25 Jahre her, also „sowas von verjährt“ - und mit dem Thema „Verjährung“ kenne ich mich als „Schlosser“ ausweislich der Ergebnisse weitaus besser aus als ein „Prädikatsjurist und Staatsanwalt L.“ aus Dortmund)

Tom schrieb:

Es müssen daher ALLE Scriptausführungen für das Upload-Verzeichnis ausgeschaltet sein!

Dieses Optimum ist leider kaum oder nicht erreichbar. Aber Tom meint sicher das Ausführen von CGI oder PHP/Python (als Modul) durch den Webserver. Das mag wohl gehen.