как нужно проверять переменные, приходящие от пользователя, которые будут использоваться в ф-циях unlink & rename? что б ниче не удалили лишнего)
ну, скажем так, администратор использует менеджер изображений (заливка, удаление, переименование, ресайз, кроп). Он-то не будет подставлять в пост-запрос ./../../.mySystemFile, но все же, как обычно такие данные фильтруются?
Ограничивается доступ к остальным директориям, проверяется наличие файла file_exists().... Можно по расширению файла - если расширение не .jpg или .png, то не трогать файл....