文件包含

文件包含漏洞，简单地说，就是在通过函数包含文件时，由于没有对包含

的文件名进行有效的过滤处理，被攻击者利用从而导致了包含了 Web 根目录以

外的文件进来，就会导致文件信息的泄露甚至注入了恶意代码

本地文件包含 LFI 也即 Local File Inclusion，其特性是可包含任意类型

的文件，并且如果被包含文件中有类似“<?php ……(省略号为 php 代码) ?>”

或“<? ……(省略号为 php 代码) ?>”这 2 种形式的字符串，则在包含时会执

行字符串中的 PHP 代码

使用场景：

黑客发现了一个网站含有文件包含漏洞，他可以使用这个漏洞进行一些敏

感文件查看，比如说服务器的一些配置信息；甚至可以自己搭建服务，通过远

程包含漏洞执行代码（恶意代码为黑客存放自己服务器上的脚本）让网站服务

器执行一些命令操作，比如说下载木马文件等。

绝对路径：相当于盘符路径

相对路径：相对于当前路径的路径

相对路径使用“/”字符作为目录的分隔字符，而绝对路径可以使用“\”或“/”字符作为目录的分隔字符