Naja. Mal abgesehen von Klammern und unübersichtlicher Schreibweise müsste Gunnar

Ansichtssache. Ich mag die Schreibweise tatsächlich auch nicht. Deine Schreibweise würde vermutlich statt einer dann acht Zeilen brauchen. Finde ich ebenso doof. Aber… Thema verfehlt. Bestenfalls hast Du eine Entwicklungsumgebung, die Dir DEINEN Coding-Style präsentiert. Was dann versioniert, deployt oder was auch immer wird, ist letztlich egal.

vorher allerdings ziemlich krummen Dateinamen generieren. Wobei das natürlich einem Angreifer auch an anderer Stelle gelingen könnte. Nur braucht der dann dieses Problem längst nicht mehr. Der Check gegen einen existierenden Dateinamen sollte also genügen.

M.E. nein. $_GET['series'] gehört da durch einen Regexp geschossen, der nur Zeichen und Ziffern erlaubt. Egal ob für scandir oder open_file. Fertig.

Einzige Stolperfalle, die dann m.E. noch bleibt: wenn da irgendein JSON-File im Ordner liegt, was man nicht publik machen möchte.