PHP文件包含：外部文件引入的风险与安全防御指南151

在PHP Web应用开发中，文件包含（File Inclusion）是一种常见且强大的功能，它允许开发者将一个文件的内容插入到另一个文件中，从而实现代码复用、模板加载或模块化开发。然而，当文件包含功能被滥用或存在安全漏洞时，特别是涉及到包含“外部”或用户可控的文件时，它将成为Web应用面临的最严重的安全威胁之一，可能导致信息泄露、任意代码执行，乃至服务器的完全控制。

PHP文件包含机制概述

PHP提供了多种文件包含语句，主要包括：
include(): 包含并执行指定的文件。如果文件不存在或出现错误，程序会发出警告，但会继续执行。
require(): 包含并执行指定的文件。如果文件不存在或出现错误，程序会发出致命错误，并停止执行。
include_once(): 与 include() 类似，但会检查文件是否已经被包含过，如果包含过则不再包含。
require_once(): 与 require() 类似，但会检查文件是否已经被包含过，如果包含过则不再包含。

这些语句在正常使用下，是构建高效、模块化PHP应用的关键。例如，一个Web应用可能使用 include('') 和 include('') 来加载页面头部和尾部，或者根据用户请求加载不同的内容模块：
// 正常使用示例
//
<?php
$page = $_GET['page'] ?? 'home';
if (file_exists($page . '.php')) {
include $page . '.php'; // 合理的内部文件包含
} else {
include '';
}
?>

问题在于，当 $page 变量的值不再是简单的内部页面名称，而是来源于用户可控的外部输入，并且没有经过严格的过滤和验证时，安全漏洞就应运而生。

外部文件引入的威胁：本地文件包含 (LFI) 与远程文件包含 (RFI)

“外部”文件包含并非仅仅指远程服务器上的文件，它更广义地涵盖了所有非预期的、用户可控的文件源。这主要分为两大类：

1. 本地文件包含 (Local File Inclusion - LFI)

LFI漏洞允许攻击者包含服务器上任意的本地文件。尽管这些文件本身可能不是Web可访问的，但通过文件包含漏洞，其内容会被PHP解析并输出，甚至可能被当作PHP代码执行。

典型成因：

当应用将用户提交的参数直接或间接地拼接到文件路径中，而未对参数进行充分验证或过滤时，就会产生LFI。
// 存在LFI漏洞的代码示例
<?php
//
$file = $_GET['file'];
include($file); // $file直接来自用户输入，未过滤
?>

攻击场景与危害：

信息泄露：

攻击者通过构造如 ?file=../../../../etc/passwd 的URL，尝试遍历目录，读取敏感系统文件（如用户凭证、配置文件、日志文件）。

也可以利用PHP的伪协议读取文件内容，例如 ?file=php://filter/read=convert.base64-encode/resource= 可以读取 `` 文件的Base64编码内容，进而还原源码。

任意代码执行 (RCE)：

这是LFI最严重的危害。攻击者可以尝试包含并执行服务器上由其他方式写入的恶意文件，例如：
日志文件投毒： 如果Web服务器（如Apache, Nginx）的访问日志可被包含，攻击者可以通过在User-Agent或URL中注入PHP代码，使这些代码写入日志文件。然后包含该日志文件，日志中的恶意PHP代码就会被执行。例如：GET /<?php system($_GET['cmd']); ?> HTTP/1.1
会话文件投毒： 如果PHP会话文件存储在可预测的路径，且会话内容可控，攻击者可以将会话变量设置为恶意PHP代码，然后包含会话文件执行。
上传文件包含： 结合文件上传漏洞，上传一个图片或其他格式的包含PHP代码的文件，然后通过LFI包含该文件，绕过上传文件类型的限制。

2. 远程文件包含 (Remote File Inclusion - RFI)

RFI漏洞允许攻击者包含并执行远程服务器上的任意文件，这通常是LFI更进一步的危害，因为它允许攻击者直接从自己的服务器上注入和执行恶意代码。

典型成因：

RFI的发生有两个前提条件：
与LFI类似，应用将用户提交的参数直接或间接地拼接到文件路径中，而未对参数进行充分验证或过滤。
PHP配置中允许远程文件包含。这主要由 中的两个设置决定：

allow_url_fopen = On：允许通过URL打开文件。
allow_url_include = On：允许通过URL包含文件（这是RFI发生的直接条件）。




// 存在RFI漏洞的代码示例
<?php
//
$template = $_GET['template'];
include($template); // $template直接来自用户输入，未过滤，且中allow_url_include=On
?>

攻击场景与危害：

攻击者构造如 ?template=/ 的URL，其中 文件包含任意PHP代码，例如一个WebShell。当服务器包含并执行该文件时，攻击者即可完全控制目标服务器。RFI是实现RCE最直接、最有效的方式之一。

文件包含漏洞的利用技巧

除了上述基本原理，攻击者还可能利用一些技巧来绕过防御机制：

路径截断 (Null Byte Poisoning)： 在PHP 5.3以前的版本，可以利用空字节（%00）来截断文件路径，绕过对文件扩展名的限制。例如 ?file=../../../../etc/passwd%。在现代PHP版本中，这种方法基本失效。


编码绕过： 对路径中的特殊字符进行URL编码、双重URL编码等，尝试绕过简单的字符串过滤。


伪协议利用：

php://filter：读取任意文件内容（如Base64编码）。
data://：直接在URL中插入恶意代码并执行，类似于RFI但不需要外部服务器。需要 allow_url_fopen 和 allow_url_include 均为 On。例如 ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ID8+
zip://, phar://：可以包含压缩包内的文件，结合文件上传可绕过一些限制。



目录遍历 (`../`)： 结合LFI读取系统文件。

安全防御与最佳实践

鉴于文件包含漏洞的严重性，开发者必须采取多层次、严格的防御措施。

1. 最小化PHP配置风险

关闭远程文件包含： 在 中，务必将 allow_url_include 设置为 Off。这是阻止RFI漏洞最核心、最有效的措施。同时，如果非必要，也应将 allow_url_fopen 设置为 Off，以减少其他潜在风险。

// 配置
allow_url_fopen = Off
allow_url_include = Off

2. 严格的输入验证与过滤（白名单机制）

这是防御文件包含漏洞的核心防线。永远不要直接使用用户提交的输入作为文件路径的一部分。

白名单验证： 这是最安全的方法。定义一个允许包含的文件列表或目录映射，用户提交的值必须精确匹配白名单中的某一项。

// 白名单示例
<?php
$allowed_pages = ['home', 'about', 'contact'];
$page = $_GET['page'] ?? 'home';
if (in_array($page, $allowed_pages)) {
include $page . '.php';
} else {
include '';
}
?>



路径规范化： 如果必须接受用户输入来动态加载文件，使用 basename() 函数获取文件名，并结合预定义的基础路径，以防止目录遍历。

// 路径规范化示例
<?php
$base_dir = 'pages/';
$file = $_GET['file'] ?? '';
// 过滤掉目录分隔符，只保留文件名
$file = basename($file); // 确保只获取文件名，例如 ../../etc/passwd 会变成 passwd
// 确保文件存在且在允许的目录内
if (file_exists($base_dir . $file)) {
include $base_dir . $file;
} else {
include $base_dir . '';
}
?>



移除或过滤特殊字符： 如果无法完全采用白名单，至少需要过滤掉所有目录遍历字符（../, ..\），以及空字节（%00）和各种协议前缀（php://, , data://, zip:// 等）。但这通常不如白名单安全。

3. 安全编码实践

避免动态文件包含： 尽量减少使用用户输入直接或间接控制文件包含语句的场景。如果可能，使用固定的、硬编码的文件路径。


模板引擎： 对于需要加载不同页面内容的应用，考虑使用安全的模板引擎（如Twig, Blade），它们通常有自己的安全沙箱机制，可以有效隔离业务逻辑和视图，防止任意文件包含。


文件权限： 设置严格的文件系统权限。Web服务器运行的用户不应该拥有对敏感配置文件或非公共文件的读写权限。


分离上传目录： 用户上传的文件（如图片、文档）应存储在与Web根目录分离的、且不可执行PHP代码的目录中。Nginx或Apache配置中应禁用这些目录的PHP解析。

4. 服务器与环境加固

Web应用防火墙 (WAF)： 部署WAF可以检测并拦截常见的Web攻击模式，包括文件包含尝试。


定期安全审计： 对代码进行定期安全审计和漏洞扫描，及时发现并修复潜在的文件包含漏洞。


更新PHP版本： 及时将PHP更新到最新版本，以获得最新的安全修复和更强大的防御功能（例如，新版本PHP对空字节截断的免疫）。

PHP文件包含功能在为Web应用带来便利和灵活性的同时，也带来了巨大的安全风险。特别是当“外部”文件或用户可控输入被引入到文件包含逻辑中时，无论是本地文件包含（LFI）还是远程文件包含（RFI），都可能导致严重的安全后果。作为专业的程序员，我们必须牢记“所有用户输入都是不可信的”原则，并通过禁用危险的PHP配置、采用严格的输入验证（尤其是白名单机制）、实施安全的编码实践以及加强服务器环境配置等多维度防御措施，来有效防范和抵御文件包含攻击，确保Web应用的健壮与安全。

2025-10-08

---

上一篇：PHP 数据库查询实战：MySQL/MariaDB 数据检索完全指南

下一篇：PHP URL 解析与分割：全面指南，掌握网址处理核心技巧