Um sistema de prevenção de intrusão na camada de rede é uma abordagem, a varredura AV em um proxy (reverso) é outra.
Uma abordagem comum é que você aplica restrições às extensões de nome de arquivo permitidas do lado do cliente antes de aceitar o upload, (mas isso é dificilmente à prova de erros e facilmente contornado) e então do lado do servidor a quick verifique para verificar se o upload é realmente um tipo de arquivo permitido e, em seguida, um passe por um verificador de vírus antes de armazenar o arquivo em seu local final.