php 文件包含漏洞是由 include 和相关函数导致的，可以通过限制可包含文件、验证用户输入、使用沙箱、禁用远程文件包含和使用安全函数来预防。

PHP 文件包含漏洞成因

PHP 文件包含漏洞主要由以下函数导致：

• include
• include_once
• require
• require_once

这些函数可用于将外部文件的内容包含到当前脚本中，以便重用代码或加载配置信息。然而，如果输入未经适当验证，则攻击者可以利用这些函数将恶意代码包含到脚本中并执行。

预防措施

立即学习“PHP免费学习笔记（深入）”；

为了防止文件包含漏洞，请采取以下预防措施：

• 限制可包含的文件：将包含路径限制为白名单列表，仅允许包含受信任的文件。
• 验证用户输入：在包含任何用户提供的文件之前，使用输入验证函数（例如 filter_input）检查输入值是否有效。
• 使用沙箱：在包含外部文件之前，将其放到沙箱中，以防止它与其他文件交互或访问敏感信息。
• 禁用远程文件包含：根据可能的，禁用远程文件包含，以防止攻击者包含来自外部域的恶意文件。
• 使用安全函数：使用 fopen()、fread() 和 fwrite() 等更安全的函数，而不是 include 函数。