Código Correcto
Para evitar este tipo de ataques hay que evitar cargar los ficheros por url, pero si quisiéramos hacerlo se tendría que comprar que dichos ficheros están permitidos mediante el almacenaje de la lista en un array y utilizar in_array para comprobar que es valido o con un if con tantas opciones como sean necesarias.