if (in_array($_GET['series'] . '.jsonld', scandir('.'))

bringt einen dann nicht um den Schlaf?

Doch, durchaus. Der Parameter gehört komplett auf seinen Gültigkeitsbereich sanitized.

Naja. Mal abgesehen von Klammern und unübersichtlicher Schreibweise müsste Gunnar vorher allerdings ziemlich krummen Dateinamen generieren. Wobei das natürlich einem Angreifer auch an anderer Stelle gelingen könnte. Nur braucht der dann dieses Problem längst nicht mehr. Der Check gegen einen existierenden Dateinamen sollte also genügen.