bis jetzt kenne ich das nur innerhalb von php (strip_tags(), Magic Quotes etc.).

Weder strip_tags() noch Magic Quotes sind effektive Mittel gegen Angriffe. Zwar ist das besser als nichts, aber trotzdem erst die halbe Miete.

strip_tags ist z.B. ziemlich unsinnig, wenn du SMGL- bzw. HTML- oder XML-Eingaben erlauben willst, tue das oder tue es nicht. Wenn du sie nicht erlauben willst, nutze z.B. htmlspecialchars().

Wo kann ich mich über Methoden gegen Dateiupload schlauer machen?

Mache dich einfach über kontextgerechte Behandlung von Benutzereingaben schlau. Ob es sich um einen Cookie-Wert, einen Dateiupload oder sonstwas handelt ist dabei nebensächlich.

Per .htaccess kannst du dich jedenfalls nicht gegen Injections schützen.

Folge Fox Mulders Grundsatz: Traue niemandem (besonders keinen Benutzereingaben).