实验37：文件包含原理以及本地文件包含漏洞案例演示

文件包含原理以及本地文件包含漏洞案例演示

本来网站是含有Funciton1和2这两个包含函数，由于这个文件是可以被用户控制的，如果这时候用户传进来了其他的文件，如果入口没有对传进来的文件进行控制的话，那么包含函数也可以把用户传进来的文件包含掉，这样会把系统配置文件的信息暴露出去

如果还包含了远程的php文件，加载到了本地去执行，那么问题就更严重了。

包含函数

我们以pikachu为例，打开此页面

我们在这里随便选择，这里选择科比

提交之后我们可以看一下他的请求，实际上是传了一个文件名

改变查询后，文件名也会变
后台会根据你的目标文件去进行操作，这个文件名是从前端传到后台的，所以前端的人员可以尝试着去做修改
有个常用的测试方法

然后这样操作：