upload ettiği an yukarda htpasswd mantıklı bir uyarı çıkartırsanız tamper ile bile atamazlar yada upload ettikten sonra resim ismini md5 gibi şifreleme yapın o zaan shell'i bulamazlar mesela