Oder ob mein PHP-Code Schwachstellen hat.
Das ist ohne Code nicht zu sagen.
Deine Theorie ist nicht schlecht, wie du es praktisch umgesetzt hast, weisst nur du.
Grundsätzlich gilt: Wenn das Script ausschlieslich nur das machen kann, was es darf, egal welcher Parameter übergeben wird, bist du ziemlich sicher.