皮卡丘檔案包含是一個功能,在各種開發語言中都提供了內置的檔案包含函式,其可以使開發人員在一個代碼檔案中直接包含(引入)另外一個代碼檔案。這些檔案包含函式包括include(),include_once() require(),require_once()。然而,如果檔案包含的代碼檔案被寫成了一個變數,且這個變數可以由前端用戶傳進來,且沒有做足夠的安全考慮,那麼可能會引發檔案包含漏洞。攻擊者會指定一個「意想不到」的檔案讓包含函式去執行,從而造成惡意操作。本地檔案包含漏洞僅能夠對伺服器本地的檔案進行包含,而遠程檔案包含漏洞能夠通過url地址對遠程的檔案進行包含,這意味著攻擊者可以傳入任意的代碼。因此,在web套用系統的功能設計上儘量不要讓前端用戶直接傳變數給包含函式,如果非要這麼做,也一定要做嚴格的白名單策略進行過濾。