purtroppo untaint sembra non funzionare sugli oggetti tainted dal motore JS stesso, ma solo su quelli tainted dall'utente (via codice).

Per quel che riguarda il l'oggetto fileupload è molto semplice da usare, quantomeno per recuperare il percorso di un file aprendo la classica finestra di apertura di windows. Se invece intendi fare un upload di un file è altra cosa.

Ti posto qualche riga del mio codice è di come ho risolto il problema raggirandolo (quanto meno fino a quando non trovo una soluzione più gradevole e pulita).

codice:
<input type="text" name="TxtPath" maxlength=255>
<input type="file" name="FilePath" style="width: 0px; border-width: 0" onchange="document.forms[0].TxtPath.value=document.forms[0].FilePath.value;">
In questo modo l'utente vede e scrive su una classica casella di testo mentre della casella fileupload ne vede solo il pulsante (dato che la relativa casella di testo associata è ridotta a 0 pixel) e quando l'utente apre la casella di selezione file premendo il pulsante, quanto ha scelto viene in automatico riproposto su TxtPath, grazie all'evento onchange.

La scrittura da/su database diventa quindi tutta basata su TxtPath e non più su FilePath.