옛날에는 php get, post 변수 인젝션, 변수 인젝션에 의한 인클루드 변조, SQL 인젝션, 스크립트 인젝션이 횡행했다.
요즘은 많이 막은 듯.
일단 인클루드는 웹으로 나가면 안 되니까. httpd.conf에서 막는다.
대충 이렇게 하면 될 듯.
<Directory /var/www/inc> deny from all </Directory>
이렇게 하면 웹으로는 안 나가고 php 스크립트 단에서만 인클루드 해서 쓸 수 있게 된다.
인클루드 파일명에는 변수에 의한 동적 인클루드는 하지 말자. 제로보드의 스킨 해킹의 교훈.