定义
能够读取或执行包含本地文件的漏洞,称为本地文件包含漏洞
源代码
原理
为了方便,include等函数里放的不是一个指定文件,而是一个接收文件的变量,从而造成用户可以控制参数file改变这个变量
当参数file 的值为一个指定路径的文件时,此时变量就是此路径,include函数就会执行此文件,当文件不是可执行的php文件时,就会将文件内容读取出货来,这样用户就可通过更改url里的参数进行读取所有的文件
复现
参数:
?page=D:PHPKFGJphpstudyPHPTutorialWWW1.php
执行效果: