Eu pessoalmente não gosto de salvar arquivos em um diretório no root - mas não há absolutamente nada de errado com isso. Eu apenas gosto de um diretório raiz limpo.
Mas sim, desde que o seu servidor FTP esteja configurado corretamente, ele evitará qualquer tentativa de ver outros arquivos no sistema. Configurado corretamente, o servidor FTP não consegue acessar nada fora de sua área definida. No entanto, como há muitos servidores ftp disponíveis com opções de configuração diferentes, não é possível informá-lo sobre como configurá-lo - a configuração é diferente com o software de servidor diferente.
Quando eu configuro um servidor FTP, eu também uso um grupo de segurança "ftpusers", e esse grupo só tem acesso à pasta específica, e eu NÃO permito que as pessoas façam login com suas credenciais de logon regulares para esse servidor. Todas as outras pastas são excluídas. Você ainda tem que proteger seu servidor de outros tipos de ataque (elevação de privilégio e similares), mas esta é uma configuração segura de tentativas de ver a pasta raiz com "../.".