Pensavo.. ma è rischioso se possono scaricare file e mettono un percorso tipo

sito/cartella/cartella2/../../file.txt
e così possono scaricare file della cartella principale?