In Zeile 19 wird das JSON-LD geparst: $data = json_decode($json, TRUE);

In Zeile 45 <?php if ($data): ?> wird verzweigt, d.h. Zeilen 46 bis 293 werden nur ausgeführt, wenn es die Datei namens $_GET['series'] . '.jsonld' tatsächlich gibt.

Im Else-Zweig ab Zeile 294 kommt $data nicht vor. Ist das nicht sicher genug? 🤔

Im Regelfall wird das soweit schon passen. Wenn ich es aber schaffen sollte, etwas "JSON-Parsebares" zu erwischen, was Du nicht nach außen geben willst…

Ich würde es absichern wollen, sei es auch nur um ruhig schlafen zu können. Alleine schon der Gedanke, dass bei jemand, der Dein Ding da klont in ein Problem läuft, was Du gar nicht auf dem Schirm haben kannst…

Soweit ich Deinen Code lese: ein gültiges JSON mit Attribut 'name', was vielleicht geheim bleiben sollte…

Probier es doch einfach mal aus:

https://bittersmann.de/startrek/series/index.php?series=../geheim

und leg dann das passende JSON-File dahin.