E' un buon inizio. Se per caso lasci anche la possibilità di caricare file in formato zip da scompattare, accertati di cancellare tutti i file .php dopo la scompattazione e se consenti di rinominare i file sul server, accertati di non lasciar impostare .php come estensione. Occhio anche alle impostazioni del webserver, visto che non di rado file con estensione php3/php4 e simili vengono interpretati come .php