¿Puede alguien hackear un sitio web que use este tipo de encabezado para abrir un pdf?
<?php
header("Content-type:application/pdf");
// It will be called downloaded.pdf
header("Content-Disposition:attachment;filename='downloaded.pdf'");
// The PDF source is in original.pdf
readfile("original.pdf");
?>
No hay ninguna vulnerabilidad de seguridad directamente en tu código.
Como nota aparte, ¿supongo que está utilizando consultas parametrizadas a través de MySQLi o PDO al hacer llamadas a la base de datos? De lo contrario, es muy probable que sea vulnerable a la inyección de SQL en otras partes de su sitio.
Lea otras preguntas en las etiquetas php file-access injection