Es müssen daher ALLE Scriptausführungen für das Upload-Verzeichnis ausgeschaltet sein!
Dieses Optimum ist leider kaum oder nicht erreichbar. Aber Tom meint sicher das Ausführen von CGI oder PHP/Python (als Modul) durch den Webserver. Das mag wohl gehen.
Wenn Du meinst, dass er das meint. Er schrub aber: Über HTTP stimmt das, wenn es kein Leck gibt.
Seine Aussage ging explizit um "SFTP oder Konsole oder eine Lücke in MySQL".
Für den Fall nochmal:
„Ein anderer tut es für mich.“