Moin!

Hi, besteht die gefahr, dass jemand fremden code einschleußt, wenn ich oben genannte Funktion benutze.

Ja. $path ist vollkommen unwichtig, sobald der übergebene Wert mit einer passenden Anzahl '/..' anfängt. Und gegen das Anhängen der Erweiterung kann man sich u.U. mit %00 wehren. Du suchst vielleicht so etwas wie basename.

Viele Grüße,
Robert