文件包含漏洞 <?php $file = @$_GET['file']; include './' . $file; ?> 我使用服务器上的DVWA环境测试 账号安装好后为admin,密码为password 首先查看低级难度 查看源代码 没有做任何过滤 直接修改page参数 可以直接获得文件信息 再来看一下中级难度 对于http:// https:// …/ …\ 代替为空 可以使用双写绕过 http:// https:// 可