[Habetdin]

Цитата zvezda_t:

Каким образом можно вывести фото в тег img и при этом не позволить злоумышленникам по прямой ссылке файлы доставать? »

Защита фото от хотлинкинга - есть много способов

Цитата zvezda_t:

Должна ли быть директория загрузки - выше корневого каталога? »

А зачем вам там файлы? Судя по вопросам, будут грузится изображения - значит можно запретить выполнение скриптов для директории загрузки (а еще лучше - не давать загружать их в своем скрипте) и все будет нормально.

Пример .htaccess для папки с загруженными файлами

Запрет популярных форматов скриптов/html-файлов:

Код:

<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">
   Order allow,deny
   Deny from all
</FilesMatch>

Радикальный метод - запрет всего и разрешенные изображения

Код:

<FilesMatch ".*">
   Order allow,deny
   Deny from all
</FilesMatch>

<FilesMatch "\.(jpg|jpeg|gif|png)$|^$">
   Order deny,allow
   Allow from all
</FilesMatch>