Einen Aspekt vermisse ich hier noch: die HTTP-Lösung ist so wie beschrieben noch ohne jede Zugriffskontrolle, der FTP (hoffentlich SFTP/SCP) Upload dagegen schon!

Bei der Lösung über HTTP muss doppelt Wert gelegt werden auf Plausibilitätsprüfungen und natürlich eine Verarbeitung, die SQL injections ausschließt, und selbst dann kann diese Form noch von außen mit gültigen, aber falschen Werten angegriffen werden. Also muss eine Authorisierung abgefragt werden, mindestens http digest authentication, dann über https statt nur http.

Selbst wenn das "nur" was privates ist - welches vom Netz aus erreichte Server wird nicht mehrfach stündlich von automatisierten Skripten auf Lücken hin abgegrast?