หลายเว็บ ตั้งค่า permission แฟ้มที่เก็บรูป ให้เป็น 777 ไว้รองรับการ upload
หาก hacker สามารถหาช่องโหว่เพื่อ upload script ขึ้นมาได้ สามารถ upload อะไรก็ได้ขึ้นมาใส่ในแฟ้มนี้
ควรปิดแฟ้มรูปภาพให้ไม่สามารถรันไฟล์ php ได้ เพื่อไม่ให้สามารถรันไฟล์ตามที่ต้องการได้

เอาไฟล์ .htaccess เข้ามาช่วย เพราะ .htaccess สามารถสั่งให้ apache ทำงานพิเศษบางอย่างได้ครับ ด้วยโค้ดดังนี้
1   # deny access to all .php files
2   <Files ~ “^.*\.([Pp][Hh][Pp])”>
3    Order allow,deny
4    Deny from all
5    Satisfy All
6   </Files>

คือ ห้ามรัน ไฟล์ที่ลงด้วย .php
การใช้ .htaccess จะใช้ได้เฉพาะกรณีที่ web server เป็น apache เท่านั้น ส่วน IIS ไม่สามารถใช้งานได้