Hallo Marc,

Auch, wenn dein Code funktioniert, so steckt er doch voller Sicherheitslücken.
Ich könnte damit auf Anhieb alle Dateien auslesen, auf die der Server zugreifen kann.

Tatsächlich? Aber nur, wenn du sie namentlich kennst.
Oder kann readfile() auch Verzeichnisinhalte lesen?

Der Fehler: Du prüfst die Inhalte der Variablen nicht.

Das ist auf jeden Fall eine gefährliche Nachlässigkeit.
So long,

Martin