Ciao a tutti!

A livello teorico, la sicurezza per uno script di upload come andrebbe fatta?
Criticate la mia seguente idea:

1) controllare tipo di file (zip, txt, png, ...)
2) il tipo di file meglio che non sia exe, php, htm, html, txt, e simili...
3) controllare dimensione file
4) controllare se l'utente ha i permessi per eseguire un upload:
- creo sul DB la tabella "uploads" con campi "id, path, group"
- un utente per poter caricare un file in un determinato path (o cartella) deve avere lo stesso gruppo di quel path (ovvero gruppo_path == gruppo_utente)
5) controllare che l'utente non esegua più di tot upload al giorno

Devo rivedere uno tra questi cinque punti?
Manca qualche controllo?