Dodanie pliku .htaccess z konfiguracją zabezpieczeń i blokowaniem dostępu do plików

upload/.htaccess

@@ -0,0 +1,20 @@
+# Wyłącz listowanie
+Options -Indexes
+
+# Domyślnie blokujemy wszystko…
+Require all denied
+
+# …a dopiero potem pozwalamy na pliki statyczne
+<FilesMatch "\.(css|js|map|mjs|png|jpe?g|gif|svgz?|webp|ico|woff2?|woff|ttf|eot|pdf)$">
+    Require all granted
+</FilesMatch>
+
+# Twardo blokuj cokolwiek, co mogłoby się wykonać
+<FilesMatch "\.(php|phtml|php[0-9]?|phar|pht|cgi|pl|py|sh)$">
+    Require all denied
+</FilesMatch>
+
+# Nie serwuj plików ukrytych (.env itp.)
+<FilesMatch "^\.(.*)$">
+    Require all denied
+</FilesMatch>