OK, Hla .. de todas formas avisa en tu documentación del script sobre donde deberían colocar su directorio de descargas para evitar ese problema (que luego no te digan que tu aplicación no es segura si tu lo avisastes).

También revisa el tema seguridad en el aspecto de filtrar esa variable que indica el archivo y ruta a descargar .. por qué por la misma filosofía podría usar esa ruta (que viaja en el URL) para descargar otro archivo fuera de ese directorio.


Por cierto Ups!!! ..disculpa .. pero probando ese último punto .. borré el upload_new.php .. (eso sí .. me dicho "no puedes borrar upload_new.php.cmt o algo así .. pero igual lo borró al parecer .. ). Espero que tengas copia de seguridad ...

Un saludo,