Hi Tom,
Außerdem ist ja nicht besprochen, was die fopen-Wrapper anrichten könnten.
Eigentlich dürfte nicht zu viel passieren, da ja "nur" readfile() und kein include() verwendet wird - die Möglichkeit fremden Code einzuschleusen ist damit ausgeschlossen.
Die einzige Gefahr könnte dann eben nur noch sein, dass Dateien vom lokalen System ausgegeben werden, die eigentlich nicht dafür gedacht sind - aber durch das .jpg im Namen ist das auf JPEG-Bilder beschränkt.
MfG, Dennis.