@z.cristiano,
capiamoci: il provider in questione spende molto in termini di sicurezza come ogni altro provider di quella portata.
questa è la seconda volta che modifico un tuo post per togliere il nome del provider.
questo è un richiamo. non farmene fare altri per favore.
tornando al tema:
hai parlato di tutto tranne che delle sicurezza dei tuoi script.
ad esempio:
hai controllato bene che non sia vulnerabile a sql injection? (cosa che sembra essere evidente dalla tua descrizione del problema)
i processi di upload sono realmente vincolati all'inserimento di credenziali, o possono essere eseguiti indipendentemente dall'autenticazione?