Делая свои проекты, мы надеемся что они будут защищены на все 100%, но когда вы разрешаете своим пользователям добавлять новости самостоятельно (добавлять фотки…), положение ухудшается.
вы задаетесь вопросом: «а что если ему удалось загрузить свой php файл ко мне на сервер?»
к примеру вы знаете что все дороги ведут в одну папку, к примеру images, вам останется создать в ней .htaccess файл, который будет посылать сообщение
Forbidden, на запрещённые расширения.

AddHandler cgi-script .php .php5 .php4 .php3 .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI

Options -ExecCGI
RemoveHandler .cgi .pl .py .php4 .pcgi4 .php .php3 .phtml .pcgi .php5 .pcgi5
RemoveType .cgi .pl .py .php4 .pcgi4 .php .php3 .phtml .pcgi .php5 .pcgi5