文件包含漏洞一旦被互联网黑客进行恶意利用，不仅会暴露Web应用的配置文件，也会暴露自身的源代码，为黑客进一步发掘Web应用漏洞提供条件，最终导致黑客控制整个网站甚至服务器。

       网站文件包含漏洞分类。文件包含，包括本地文件包含和远程文件包含两种形式，下面对这两种形式进行介绍。

       第一，本地文件包含漏洞（Local File Include，本地文件包含故名包含的文件在本地服务器），它是PHP中一种较为典型的高危漏洞。本地文件包含就是通过浏览器包含Web服务器上的文件，当浏览器包含文件没有进行严格的过滤时，允许遍历目录的字符注入浏览器并执行，由于技术人员未对用户输入的内容进行有效过滤与检查，导致恶意用户可以控制被包含的文件，一旦成功，Web应用服务器将一些特定文件当成php执行，从而导致恶意用户可获取一定的服务器权限。

       第二，远程文件包含漏洞（Remote File Inclusion，远程文件包含故名包含的文件不在本地服务器，而需要远程访问其他服务器）。它其实也属于“代码注入”的一种，其原理就是注入一段用户能控制的脚本或代码，由于浏览器对于用户输入没有进行有效的过滤与检查，导致其在服务端执行恶意文件的代码。该漏洞利用的前提是PHP开启了远程包含功能，且被包含的变量前没有目录的限制。文件包含漏洞一旦被互联网黑客进行恶意利用，不仅会暴露Web应用的配置文件，也会暴露自身的源代码，为黑客进一步发掘Web应用漏洞提供条件，最终导致黑客控制整个网站甚至服务器。