>> サーバ側のフォルダ名をユーザに決定させていない
>> サーバ側のファイル名をユーザに決定させていない
> これに関しては user の利便性と trade-off になるため、必ずしも対応させる必要は無いでしょう。
補足、IIS6.0 以上では「親パスを許可しない」が default になっています。
> むしろ、別の layer で対策すべき話だと思います。
Windows の場合、"\\?\" prefix をつければ path のあいまいさを弾けるのですが、あ、そういや .NET では "\\?\" 使えなかった。。。
http://blogs.wankuma.com/tyappi/archive/2007/05/18/77226.aspx