LFI — Local File Include представляет собой специальное подключение или, в других случаях, чтение файлов на сервере. Это очень популярный метод взлома ресурсов, с помощью которого злоумышленник удачно получает доступ к ресурсу и к его локальным файлам.
Другими словами, взломщик удаленно отправляет заранее сформированный запрос и может получить доступ даже к тем файлам, в которых содержится конфиденциальная информация.
Такая опасность существует в тех случаях, когда плохо проверяются и фильтруются параметры на ресурсе. Подобные ситуации возникают при ошибках разработчиков, которые не устанавливают фильтрацию или некорректно устанавливают настройки всего сервера.
Стоит понимать, что подобная уязвимость является очень опасной для любого ресурса.
Для защиты рекомендуется проверять валидность, фильтровать параметры, а также информацию, которая передается.