PHP文件包含漏洞类型有哪些？

PHP文件包含漏洞是Web安全中高危且常见的威胁，主要因开发者未严格过滤用户输入而导致，涵盖本地文件包含（LFI）、远程文件包含（RFI）和目录遍历三类攻击形式——攻击者可借此读取服务器敏感文件（如/etc/passwd、配置文件）、注入并执行恶意代码，甚至完全控制网站；而防范的核心在于彻底摒弃对用户输入的信任，通过白名单机制、禁用allow_url_include、严格路径校验、避免动态拼接文件名等多重防御手段构建安全防线，每一条看似简单的开发规范，都可能成为阻止一次致命入侵的关键屏障。

PHP 文件包含漏洞主要源于开发者在代码中动态引入文件时，未对用户输入进行严格过滤，导致攻击者可以包含恶意文件或敏感系统文件。这类漏洞分为以下几种类型：

1. 本地文件包含（LFI - Local File Inclusion）

说明：当 PHP 脚本使用 include、require、include_once 或 require_once 包含本地服务器上的文件，而文件路径由用户控制时，可能被利用读取服务器上的任意文件。

常见利用方式：

• 读取敏感配置文件，如 /etc/passwd、config.php
• 配合文件上传漏洞执行任意代码
• 通过日志文件写入 PHP 代码，再包含执行（如访问日志、错误日志）

示例代码（存在漏洞）：

2. 远程文件包含（RFI - Remote File Inclusion）

说明：当 PHP 配置允许远程文件包含（allow_url_include=On），且程序动态包含外部 URL 时，攻击者可指定恶意远程脚本地址，导致任意代码执行。

前提条件：

• allow_url_include = On（默认关闭）
• 输入未过滤，直接用于包含语句

示例利用：

若目标服务器允许远程包含，就会加载并执行攻击者服务器上的脚本。

3. 目录遍历（Path Traversal）与 LFI 结合

说明：攻击者使用 ../ 绕过目录限制，访问上级目录中的敏感文件。

示例：

若未做路径校验，可能导致系统文件泄露。

如何防范文件包含漏洞？

• 避免将用户输入直接用于文件包含路径
• 使用白名单机制限定可包含的文件名
• 关闭危险配置：设置 allow_url_include=Off 和 allow_url_fopen=Off（如非必要）
• 对输入进行严格过滤和验证，如去除特殊字符、限制路径格式
• 使用固定映射代替直接文件名拼接，例如：
  $pages = ['home' => 'home.php', 'about' => 'about.php'];
  根据输入选择对应值，而非直接拼接

基本上就这些。关键在于不信任用户输入，尤其是用在文件操作中的参数。

到这里，我们也就讲完了《PHP文件包含漏洞类型有哪些？》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于php,文件包含漏洞的知识点！