beh... innanzitutto la soluzione piu banale sarebbe quella di creare un'altra directory dove salvare tutti i file uploadati
altrimenti, fai visualizzare (per esempio) solo quelli con una certa estenzione (zip,doc,rar...)
in questo modo le pagine php o js o quant'altro non vengono visualizzate...

magari imposti un controllo sulla form, in modo che da lato client non sia possibile spedirti un file .pip o .boh o .caz e cosi via...