Hi.

meinst du eigentlich FTP-Upload oder Upload via Web ... ?

bei FTP Upload solltest du nur denen Zugriff zum Hochladen von ausführbaren Dingen gestatten, die keinen Schaden anrichten "können"/"würden" ...  also eigentlich nur dir selbst ...

bei Upload via Web würde ich nur Dateien zulassen, die nicht ausgeführt (das Gegenteil deiner Liste) werden können bzw. auch nur in Ordner hochladen lassen, die "nur lesen" Rechte haben ... also maximal HTML, Text und Bilder etc  anzeigen können.

Wenn ASP Seiten mit der Include-Direktive arbeiten, würde ich diese Includes in ein Unterverzeichnis packen, was nicht mal vom Besucher der Site lesbar ist (no read, no execute, no browse) ...

Gruß, Frank