запретить запуск скрипта php загрузки

У меня есть система, в которой пользователь платит за поддержку, у каждого пользователя есть папка. У меня есть много (например, 200+) подпапок ד на моем веб-сайте, для каждой из них нужны CSS, изображения, JS и т. Д.

Я также каждую неделю создаю папки для новых пользователей, когда они регистрируются, каждый пользователь может загружать скрипт PHP или JS-скрипт или изображения. (снимок экрана с их проблемой)

Моя проблема: в моем /. htacess у меня есть правило, которое проверяет скрипт PHP и перенаправляет на нужную страницу, например. site.com/user/page перейдет на site.com/user/page.php

Я хочу не допустить, чтобы пользователь нарушил работу системы, например:

site.com/user/upload/test перейдет на свой test.php и запустит его.

Как я могу предотвратить подобные атаки?