Yo no me fiaría mucho, la variable $ubicar puede contener cualquier cosa que pasen por GET, alguien podria poner, por ejemplo,
nombredelaweb.com/ruta/descarga.php? archivo=passwords.txt&ubicar=..%2fdirectoriosuperi or%2fdirectoriopersonal

donde %2f representa la barra invertida /
y acceder a cualquier archivo de cualquier directorio.

Quiza mejor que el directorio lo pongas en el php y no lo pases por GET.
Usando basename() creo que no hay problemas para el nombre del archivo.