se provo a mettere l'indirizzo file.php?dir=../../ non mi dà niente... schermo bianco... uhm.
grazie comunque, studierò il tuo consiglio!!

comunque in ogni caso tramite URL con l'apostrofo è impossibile che una variabile (per esempio L'A) nella pagina torni esattamente L'A? esiste un modo per evitare che mi scriva L\'A?