ti dico io come faccio... senza alcuna pretesa di avere la soluzione esatta.

quando faccio l'upload filtro il nome del file evitando che contenga caratteri "estranei" fra i quali gli slash o altro... il tutto filtrato con una regex che consenta solo A-Za-z0-9.-_ facendo il replace di tutto ciò che nn è ok

ara prima di "accedere alla funzione unlink() verifoco tutti i permessi con funzioni di login. ad esempio
if(!is_logged()) {exit('vai a quel paese!');}

poi filtro il nome ricevuto (io eviterei il get... ma se propio vede essere...) con la stessa regex con la quale ho fatto l'upload quindi avrò la certezza che nn vi saranno / \ o ..
oppure potresti fare con basename()

faccio un controllo preventivo con file_exist() e poi

unlink()