Nur da ich weiß, dass dann sicherheitstechnisch alle Türen offen stehen, möchte ich wissen, was ich beachten muss, um einen Missbrauch zu vermeiden.

http://de3.php.net/manual/de/function.is-dir.php bezw.
http://de3.php.net/manual/de/function.file-exists.php
Man könnte noch prüfen, daß die Variable nur die Zeichen enthält, die in einer Pfadangabe erlaubt sind.

~JJ