Hola,

Lo que puedes hacer es comprobar o forzar que el parametro no carga un fichero fuera del directorio donde tienes tus ficheros.

Puedes usar las funciones realpath() (www.php.net/realpath) y pathinfo() (www.php.net/pathinfo) para acceder a las partes del path pasado como parametro y actuar en funcion de ellos, por ejemplo, solo coger la parte del nombre de fichero y desechar el resto.

Saludos.