preventivo sito

[Luca Crippa]

Intendo validare sempre i parametri per evitare che si possano fare scherzetti di questo genere. Nel tuo caso, una possibilità potrebbe essere tentare di convertire il parametro in un intero prima di fare quella concatenazione, in modo che qualunque roba che non sia semplicemente un numero venga uccisa sul nascere.

Inoltre, prima di accedere ad un percorso che dipende da un parametro può essere sensato far "risolvere" completamente il percorso, rendendolo "canonico" (ci sarà sicuramente una funzione PHP per 'sta roba, anzi, ce ne saranno 12, di cui 4 che fanno la stessa cosa ma con i parametri in ordine diverso, 3 che ricalcano la sintassi C, 3 deprecate e 2 wrapper ad oggetti che non usa nessuno perché disponibili solo da PHP 7 in poi; tutte ovviamente hanno bachi diversi) e verificando lì se effettivamente (1) i file che stai pescando stanno nella directory corretta e (2) se hanno l'estensione corretta.

Intendi ad esempio prendere il path ../public/events/1.txt e cambiarlo in 58648448464256? Con una funzione che genera un numero a seconda del file di testo? E poi passare quello riconvertendolo dopo?

[fred84]

Intendi ad esempio prendere il path ../public/events/1.txt e cambiarlo in 58648448464256?

NO
dice di controllare se "1.txt" é un intero seguito da ".txt": se sì, prosegui; se no, errore.

[Luca Crippa]

NO
dice di controllare se "1.txt" é un intero seguito da ".txt": se sì, prosegui; se no, errore.

Immagino che così sia un po tropo semplice.

[Al_katraz984]

Immagino che così sia un po tropo semplice.

verificherai che il file sia presente sul server...

[fred84]

Immagino che così sia un po tropo semplice.

dipende da cosa devi fare.
nel tuo caso non direi, perchà qualsiasi cosa che non sia un'intero non passa, quindi codice maligno e simili vengono bloccati, mentre i file che vuoi vengono raggiunti.

ovviamente devi isolare correttamente il nome del file richiesto.

verificherai che il file sia presente sul server...

anche, sì