Qualcuno può hackerare un sito Web che utilizza questo tipo di intestazione per aprire un pdf?
<?php
header("Content-type:application/pdf");
// It will be called downloaded.pdf
header("Content-Disposition:attachment;filename='downloaded.pdf'");
// The PDF source is in original.pdf
readfile("original.pdf");
?>
Non ci sono vulnerabilità di sicurezza direttamente nel tuo codice.
Per inciso, presumo che tu stia utilizzando query parametrizzate tramite MySQLi o PDO quando effettui chiamate al database? In caso contrario, è altamente probabile che sia vulnerabile all'iniezione SQL in altre parti del tuo sito.
Leggi altre domande sui tag php file-access injection