Samozrejme ze musis osetrovat. Ked ti tam poslem (schvalnou modifikaciou) nejaku cestu na systemovu zlozku servera tak bezproblemov ma tam pustis aby som si tam cital cosi alebo co ten tvoj web robi? Take veci sa osetruju hodne prisne, idealne len vyberat z interneho zoznamu moznosti, a cez GET si predavat len nejake poradove cislo alebo nieco podobne.
P.S. a ked tam bude nejaka blbost tak opendir zrejme vrati error alebo ten script skape.