E' sufficiente utilizzare una whitelist per eventuali chiamate ad include/require che utilizzano i dati di input per selezionare il file da includere oppure utilizzare funzioni tipo basename() per assicurarsi che il file che verrà incluso sia locale e non remoto.