Büyük ihtimal yapmışsınızdır ama yinede söyleyim ;

<Files *.php>
deny from all
</Files>
uploads klasörü içine .htaccess dosyasına atarsanız upload klasöründe hiç bir php kodu ve sayfası çalışmıyacaktır ki zaten enjekte edilen zararlı bilgiler buralardan aktarılıyor ilk olarak.