Все зависит от того, что вам нужно, чтобы иметь возможность делать с ними, как только они будут загружены.
Вне корня веб-сайта определенно лучше, но если вам нужно будет показывать эти файлы на веб-страницах, вам нужно будет написать обработчик или просто сохранить их внутри веб-корня.
В идеале вы никогда не должны позволять ненадежным пользователям загружать любые файлы на сервер и, конечно же, не должны позволять ненадежным пользователям загружать файлы в веб-канал, поскольку они могут затем использовать ваш сервер для распространения вредоносного ПО или загрузки файлов, которые могут быть выполнены на сервера и взять под свой контроль ваш сервер или сайт.
Вы всегда должны убедиться, что минимальное количество типов файлов возможно разрешены для загрузки, так что если пользователь загружает изображение, убедитесь, что они могут только загружать изображения
Попробуйте взглянуть на [Security SE] (http://security.stackexchange.com/) или спросить его, если нет полезного ответа. – HamZa
ОК спасибо. Я посмотрю. – user2608855