Una piccola nota di sicurezza:

Se passi il percorso tramite un semplice $_GET['s'], naturalmente senza controlli, sei vulnerabile via javascript: