Защита папки с загруженными файлами

[Dez]

Привет.
Есть папка, доступная извне, в которую складываются загружаемые файлы, в принципе пока что одни картинки. Опустим способы проверки на то что это действительно картинка, т.к. используются и посторонние - как elfinder - вещи.
Сейчас момент если туда уже каким то образом что то удалось загрузить, то как не позволить этой радости выполниться.
1) Смотрю в drupal они кидают в эту папку .htaccess с кодом:

SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
Options None
Options +FollowSymLinks

Что не позволяет выполнения php файла, файл предлагается на скачку

После гугления смотрю есть еще такие варианты:
2)

 AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI

тоже не выполняет, пишет доступ запрещен
3)

RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off

не выполняет и файл идет на скачку как в 1)

Чет не вижу системы, что предпочесть?

 

[AnrDaemon]

location ^~ /upload/ { try_files $uri =404; }

 

[Dez]

location ^~ /upload/ { try_files $uri =404; }

Internal Server Error

 

[Breeze]

Internal Server Error

потому что nginx

 

[Dez]

потому что nginx

я про nginx и не спрашивал, вроде четко написано в вопросе - htaccess

 

[antson]

все способы остальные способы с .htaccess могут перестать работать из-за настроек apache (достаточно в конфиге прописать запрет на оверайд)
Если файлы не нужно показывать посетителям, то самый надежный способ положить это выше корня сайта.
В случае когда они должны быть доступны, то имхо лучшее решение - для статики поднять отдельный субдомен без поддержки скриптов.
Если это подпапка в основном домене, то запретить в нее доступ в корневом .htaccess перенаправлением на субдомен

з.ы. не забываем, что папка с 777 имеет векторы угроз не только со стороны www-data,
но и от остальных процессов на серваке. Н-р по фтп в прошлом году заливали через уязвимость .