1. LFI, vulnerabilidade de inclusão de arquivo local, como o nome sugere, refere-se a uma vulnerabilidade que pode abrir e incluir arquivos locais. A maioria das vulnerabilidades de inclusão de arquivos encontradas são LFI.
2. RFI, vulnerabilidade de inclusão remota de arquivos. Refere-se à capacidade de incluir arquivos em um servidor remoto e executá-los. Como os arquivos no servidor remoto podem ser controlados por nós, a vulnerabilidade será muito prejudicial quando existir. Porém, as condições de utilização do RFI são mais rigorosas e precisam ser configuradas no php.ini.
permitir_url_fopen=Ativado
Exemplo
<?php $arquivo = $_GET['arquivo']; inclua $arquivo; ?>
O padrão de Allow_url_fopen é Onallow_url_include e o padrão é Desativado
Caso existam requisitos especiais, estes serão indicados nas condições de utilização.
O texto acima é uma introdução às vulnerabilidades de inclusão de arquivos PHP. Espero que seja útil para todos.