Я предполагаю, что Ваши ACLs являются ограничениями уровня файловой системы. Вероятно, что Ваше программное обеспечение веб-сервера работает как корень или некоторый другой privaledged пользователь и таким образом не поражает ACLs, который Вы ожидаете.
Что необходимо ограничить это, php ограничения загрузки файла не соответствуют? Это было бы Вашим первым оборонительным рубежом для ограничений типа или размера файла.