Esa validación del '..' me parece bien, aunque supongo que se podría representar el punto con algún tipo de escape de caracteres; no estaría mal si agregas protección adicional como la que @GatorV sugiere en: http://www.forosdelweb.com/f18/aport...ar-xss-948577/

Está claro que es para uso personal, pero nunca está de sobra protegerte de accesos no deseados.