Originariamente inviato da filippo.toso
Si. Quando si utilizza include()/require() utilizzando dati di input (es. un parametro "action") sarebbe sempre opportuno istituire una whitelist (es. un array) da utilizzare per "autorizzare" l'include. In questo modo se un attaccante cerca di includere un file non elencato esplicitamente nella lista, l'include non verrà eseguito.
ok grazie!