Falls das nicht der Fall ist oder du auf eine ganz andere Problematik anspielst, wäre ich anstatt einem sinngemäßen "Oh mein Gott wie kannst du nur!!" an Aufklärung dankbar... :)

für die von dir gewählte methode ist aktives register_globals erforderlich - es ist anzunehmen, dass du das nicht nur an dieser stelle so machst - das ist der knackpunkt der gefährlichkeit (sprich, die paar zeilen sind nich das eigentliche problem) - du solltest dich auch bei LX' variante von register_globals trennen und variablen immer von dort holen, wo sie herkommen

wenn du eine get-variable erwartest, hole sie aus dem superglobalen array $_GET[] um zu vermeiden, dass dir jemand post-variablen oder cookie-variablen unterjubelt usw

zudem müsste es in deinem fall wohl if(file_exists()) heissen, das ! davor ist denke ich nicht förderlich ;)