文件包含本页总览文件包含 漏洞描述 本地文件包含是指程序在处理包含文件的时候没有严格控制。利用这个漏洞,攻击者可以先把上传的文件、网站日志文件等作为代码执行或直接显示出来,或者包含远程服务器上的恶意文件,进而获取到服务器权限。 漏洞例子 修复建议 1、严格检查变量是否已经初始化。 2、对所有输入提交可能包含的文件地址,包括服务器本地文件及远程文件,进行严格的检查,参数中不允许出现./和../等目录跳转符。 3、严格检查文件包含函数中的参数是否外界可控。 绕过手段