Mi sembra ovvio, finché il controllo sarà solo sul client sarà pur sempre vulnerabile quell'upload