$_SERVER['DOCUMENT_ROOT'].'path/suffisso_'.$_GET['file']

in questo modo utilizzando la variabile server ti assicuri che non siano richiamati file fuori dal tuo dominio, aggiungendo la parte "statica" con il suffisso ti assicuri che non siano richiamati file non previsti

per le richieste fuori dal tuo dominio le cose si complicano, anche i referer non sono sicuri, tutto può essee falsato