Папка верхнего уровня должна иметь разрешения на чтение, запись и выполнение для пользователя apache. Папка верхнего уровня может принадлежать apache и иметь такие права доступа, как 755, чтобы веб-сервер мог читать, записывать и перечислять файлы,
Вы можете подумать о разрешениях 750 или 700, если вы особенно заинтересованы в том, чтобы другие локальные пользователи или службы на веб-сервере могли видеть файлы в этом каталоге.
Для прав доступа к файлам: 644 или 600как обычно, им не нужно разрешение на выполнение.
Хорошим компромиссом может быть использование 750 для каталогов и 640 для файлов с владельцем, установленным в apache, и изменение группы (chgrp) так, чтобы группа для файла позволяладоступ к пользователю, с которым вы обычно редактируете файлы сайта.
Я не могу думать о каком-либо значительном преимуществе увеличения и затем уменьшения разрешений php-скрипта.
Я думаю, вы должны рассмотреть комментарий @ chunk о том, что загруженные файлы должны принадлежать общедоступному html.каталог полностью и обслуживая их обратно через скрипт доставки файлов.В противном случае вам потребуется тщательная проверка содержимого файлов и ужесточение конфигурации apache для этого конкретного каталога - возможно, с использованием некоторой проверки mimetype, чтобы убедиться, что файлы действительно являются документами и PDF-файлами.