目录 风险 low mediu high 修复 目录遍历与文件包含的区别 风险 通过php的特性函数利用url动态包含文件,因为没有对文件来源进行严格审查,导致任意文件读取或者任意命令执行。 前提: allow_url_fopen=on(是否允许将URL作为文件处理,默认为on) allow_url_include=off(是否允许include/require打开URL作为文件处理 默认为off) low 查看源码:发现对page这个参数没有做任何过滤