Hello,

Und "$album = $_GET['album']" ist auf den ersten Blick gefährlich. Wird das $album noch irgendwo auf schädlichen Inhalt untersucht?

Nein, bis jetzt noch nicht, ich habe es mal erweitert, so sollte es nun sicher sein?

$album = htmlspecialchars($_GET['album']);

Nee, htmlspecialchars() ist erst bei der Ausgabe im HTML-Kontext sinnvoll.
Lies Dir mal Dedlfix' Artikel im Wiki durch:
http://wiki.selfhtml.org/wiki/Artikel:Kontextwechsel

Ich habe jetzt nicht untersucht, was mit $_GET['album'] im weitren Scriptverlauf angestellt wird. Wenn daraus aber ein Pfad (Dateiname) erstellt wird, dann muss man sich den Parameter ganz genau ansehen, dass nicht nachher '/etc/passwd' oder ähnlich dabei herauskommt.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg