En nuestra aplicación (PHP, MySQL) permitimos a los usuarios crear plantillas que se almacenan en su propio subdirectorio (que lleva el nombre de la plantilla).
Alguien sugirió usar un saneamiento de nombre de archivo estándar, pero no estoy demasiado cómodo para permitir que el usuario nombre su plantilla 'mytemplate.php'
¿Está permitiendo las extensiones en los nombres de directorio un riesgo de seguridad?