also angemeldete User sollen über die upload.php Dateien hochladen können?

Dann müssen sie diese auch aufrufen können (egal ob per Link oder direkt).
Und wenn du jetzt den Zugriff für alle sperrst (z.B. per .htaccess), dann kann doch keiner mehr was hochladen?