1 概要

  PHP 等脚本语言能够从外部文件读取脚本源代码的一部分。PHP 中对应的函数有require、require_once、include、include_once。如果外界能够指定 include 的对象文件名，就可能会发生意料之外的文件被 include 而遭到攻击。这被称为文件包含漏洞 。某些情况下，PHP 中还可以通过配置来指定外部服务器的URL 作为文件名，这就被称为远程文件包含（RFI）。

[出自:jiwo.org]

2 影响

（1）web服务器的文件被外界浏览而导致信息泄露。

（2）脚本被任意执行所造成的影响。典型的影响如下

             篡改网站

             执行非法操作

             攻击其它网站

3 安全隐患产生原因

  当应用满足以下两个条件时，就会产生文件包含漏洞。

（1）include 的文件名能够由外界指定

（2）没有校验 include 的文件名是否妥当

4 对策

（1）避免由外界指定文件名

（2）避免文件名中包含目录名

（3）限制文件名仅包含字母和数字