Das ist keine Sicherheitslücke des XAMPP's alleine, sondern eine Sicherheitslücke PHP's... wenn man das als Sicherheitslücke sehen möchte.
Einigermaßen sicher fährst du im safe_mode.

Mithilfe dessen kannst du PHP anweisen lediglich in einem zuvor definierten BaseDirectory zu operieren. PHP wird sich daraufhin weigern Aktionen auszuführen, die alles tangieren würden was sich oberhalb des BaseDirectory befindet.
Nachteile sind allerdings das ein paar Funktionen damit wegfallen. Mir sind bisher allerdings nur system(), exec() und disk_free_space() bekannt.

Geh mal googlen wie man den safe_mode realisiert. Findest du nichts, sag bescheid, dann helf ich weiter.

@ wrtlprnft: ../ rausfiltern bringt da absolut gar nichts. Ich sag nur: Absolute Systempfade und system() bzw. exec().