M.E. nein. $_GET['series'] gehört da durch einen Regexp geschossen,
Also wenn der Dateiname vorher aus dem eigenen Dateisystem gelesen wurde, sehe ich keine Stelle an der ein Sicherheitsproblem entstehen könnte, wenn man nachfolgend in exakt der gleichen Umgebung aus einer Datei mit exakt (Byte für Byte) gleichem Namen lesen will. Das ist es, was Gunnar vor hat.
Eine Beschränkung nicht etwa auf ASCII sondern auf einen Teil von ASCII kann aber aus anderen Gründen sinnvoll sein.
Z.B. ist \b
bzw. 0x08
das Steuerzeichen für einen Rückschritt. Jetzt sind zwar in Linux prinzipiell alle Zeichen außer dem Nulbyte in Dateinamen erlaubt - aber ich will bei manchen Experimenten mit Software dann doch lieber nicht dabei sein... Es macht sicherlich „viel Vergnügen“ eine Datei mit dem Steuerzeichen für den Rückschritt, EOF, EOT, BELL, ... im Name zu identifizieren oder zu adressieren um diese in irgendeiner Form (Inhalt, Eigenschaften) zu verändern oder auch nur zu löschen. Und die Symbole, z.B. aus asiatischen Sprachen, bereiten unter außerordentlich häufigen Umständen auch außerordentlichen „Spaß“, den ich zwar haben kann - aber nicht muss und längst nicht immer haben will.