File inclusion

این حمله به هکرها اجازه می دهد تا از طریق ورودی اطلاعاتی کاربران – بدون فیلترینگ مناسب – اسکریپت خود را در وب سرور تزریق نمایند. امکان آن وجود دارد که حمله کننده با مجوزهای وب سرور، فایلی محلی یا از راه دور همراه با اسکریپت های دلخواه اجرا کند.
برای مثال در زبان PHP دایرکتیوی با نام allow_url_fopen وجود دارد که با فعال نمودن آن امکان اجرای عملکرد های سیستمی فراهم می گردد و نتیجه آن توسط URL به کاربر برگردانده می شود. هکر قادر است با تغییر یکی از متغیرهای فرستاده شده به این فانکشن ها، اسکریپت خود را تزریق نماید. برنامه نویس می بایستی دقت نماید که متغیرهای خارچی خود را همانند $_GET, $_POST, $_COOKIE اعتبار سنجی کند و در غیر اینصورت بهتر است که این امکان را از php.ini غیر فعال نماید.

منبع: PHP – Using remote files