Upload script vor ausführbaren Dateien schützen

Hallo,

auf meiner Jahrgangseite gibt es ein Upload-Script.

Im Prinzip will ich exe Dateien zulassen. Nun kann man aber wenn ich alle Dateitypen zulasse *.php Dateien hochladen und diese dann ausführen wenn man den Pfad kennt. Das dies eine Sicherheitslücke von großem Ausmaß ist muss ich wohl nicht näher erläutern. das selbe gilt für *.pl *.cgi Dateien.

Nun habe ich die Möglichkeit alle Dateien des MIME Types "text/plain", und "application/octet-stream" zu verbieten. Dann kann ich aber auch keine Textdateien und keine selbstextrahierenden RARs bzw. ZIPs hochladen.

Nun liegt es nahe dem Server einfach zu verbieten diese Dateien auf dem Server auszuführen.
habe das ganze per FTP probiert, dann funktioniert aber der komplette Upload nicht mehr.

Wie kann ich es machen das ich diese Dateien zwar hochladen kann aber der server sie nicht ausführt, durch link oder direkte Adresseingabe in den Browser?

Falls jemand andere Ideen hat auch hier posten bitte.
Ist echt ein Problem denn über diese Lücke kommt man zum gesamten quelltext der php Dateien...

Thx4help
Flo