se l'upload è implicitamente protetto non deve dare problemi (quindi non eseguibile singolarmente).

se lo script per l'autentica non è ben costruito la codifica della password serve a poco, il controllo avviene se il dato è correttamente inviato. se bucano le query la password non serve a nulla.

captcha è un controllo preliminare... e siamo sempre lì.

verifica di non avere in giro file di test incautamente abbandonati. lavorando può capitare di abbandonarli.