Mahlzeit Klaus,

Überprüfe lieber, ob Zeichen vorkommen, die in einer Pfadangabe nichts zu suchen haben, überprüfe, ob der Pfad irgendwo hinführt, wo er nicht hinführen darf/sollte usw. ...
Hm... Welche Zeichen meinst du und wie mach ich das?

Schau nach, was beim Betriebssystem, auf dem Dein Webserver läuft, erlaubt ist. Normalerweise sind alphanumerische Zeichen, Minus, Unterstrich, Punkt und noch ein paar andere Ausnahmen erlaubt, Schrägstriche (je nach System unterschiedliche Neigung) und andere hingegen nicht.

Du überprüfst einfach, ob in dem übergebenen String die Zeichen vorkommen, die nicht erlaubt sind. Bzw. umgekehrt, Du überprüfst, ob dort nur Zeichen vorkommen, die erlaubt sind. Mit regulären Ausdrücken und einem geeigneten Suchmuster sollte das relativ einfach möglich sein.

MfG,
EKKi