原理以及介绍
在通过PHP的相应函数(比如include())引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。
文件包含漏洞的形成,需要满足两个条件:
include()等函数通过动态变量的方式引入需要包含的文件
用户能够控制这个动态变量
- 在文件包含漏洞中,进行文件包含时
PHP
伪协议的掌握是必不可少的
这里不一一说明,留下大佬的博客可以去借阅学习:点击进入
以下是文件包含函数:
include()
require()
include_once()
require_once()
highlight_file ()
show_source ()
readfile()
file_get_contents ()
fopen()
file()