metti tutte le directory di upload dentro WEB-INF. In questo modo nessuno puo' chiamare files direttamente scrivendone il percorso nell'url.