Sitedeki resimleri PHP dosya gibi gösterme ?

Merhaba, güvenlik zaafiyeti deyişiyinizi kavrayamadım..
örnek kullanım olarak verdiginiz şekilde bir baglantı oluşturulursa sitemin dosyalarına ulaşabileceğinimi söylüyorsunuz ? (Deneme yaptım bişey olmadı)

Durumu biraz daha açarsanız sayenizde bir tehlikeyi önlemiş oluruz

site yada skype adresinizi pm gönderebilirseniz uygulamalı olarak gösterebilirim

Yapmam gerekenleri söyleseniz mutlu olurum

$res = $_GET["resim"]; > dosyayı çagırıyorsunuz

readfile('resim_klasoru/'.$res.''); > burda okuyorsunuz resim_klasoru/ içerisinden çıkmak için ../ kullanılarak alt dizinlere geçilebilir.

Saldırgan bu zaafiyeti şu şekilde kullanıyor.
site.com/dosya.php?resim=okunacakdosya.php yada /etc/passwd
readfile("okunacakdosya.php") yada readfile("/etc/passwd")


Güvenlik :

<?php
$res = $_GET["resim"];
$uzanti=explode('.',$res);
$temiz = str_replace("../","",$res);
$temiz = str_replace("/..","",$res);
$temiz = str_replace("%","",$res);
$temiz = str_replace("./","",$res);
$temiz = str_replace("/","",$res);
if($uzanti[1]=="jpg") {
header('Content-type: image/jpg');
}elseif($uzanti[1]=="png"){
header('Content-type: image/png');
}else{
header('Content-type: image/gif');
}
readfile('resim_klasoru/'.$temiz.'');
?>

Anladım hocam ben get veya post olarak yaptıgım tüm veri aktarmalarını farklı değişkenlere atarak tarıyorum.. sadece çalışma içinde oldugum için birde kodları sade sunup cozumu hızlı bulmak adına direk o şekilde buraya aktardım.

İlginiz için can-ü gönülden teşekkür ediyorum
Hayırlı çalışmalar..