$arquivo = $_GET["arquivo"];Troque por isto!
$arquivo = "downloads/" . basename($_GET["arquivo"]); $extensao = strtolower(array_pop(explode('.', $arquivo))); if($extensao != 'jpg' && $extensao != 'jpeg') { exit('-----'); }
Abração (DEVE RESOLVER SEU PROBLEMA DE SEGURANÇA!)