Salve a tutti,
purtroppo non ho trovato molta documentazione (quasi zero in verità) circa la sicurezza sulla cancellazione di un file.

Posto che io abbia la mia bella gallery di foto e volessi cancellarne una via php, dovrò per forza mandare via $_GET il nome dell'immagine che poniamo sia pippo..almare.jpg

Quindi nel php avrò una situazione tipo:
unlink($_GET['img']);

La mia domanda è: un sistema così è sicuro???
Non potrei subire qualche injection del tipo, nel get ../../../../etc/pwd

Come dovrei ragionare???

Grazie