intende dire che se io richiedo la pagina:
/../../../../etc/passwd (non mi ricordo dov'è sta il file delle password), il tuo amico ti può scaricare qualsiasi file presente sul server.

E' opportuno quindi fare controllo sull'indirizzo del file passato.
Controllare che i doppi punti non siano presenti e altre cose che ora non mi vengono in mente.


capito?
ciao