Tengo el siguiente código en mi aplicación web:
$data = "dir/files/".$_GET['f'].".pdf";
Un par de líneas hacia abajo que tengo:
if(file_exists($data)){
include($data);
¿Un atacante podría omitir eso para explotar una RFI en mi sistema? ¿O es solo LFI?