La inclusión de archivos locales / remotos es una vulnerabilidad grave. La mejor práctica para protegerse es establecer en php.ini:
allow_url_fopen = Off
allow_url_include = Off
open_basedir = /var/www/html
Claramente, la validación basada en listas blancas en la entrada del usuario también es importante, pero los desarrolladores cometen errores y la defensa en profundidad es la clave.
Incluso con la configuración anterior, el exploit php: //filter/convert.base64-encode/resource=index.php todavía funciona.
¿Hay alguna forma de deshabilitar php: // filter globalmente o por PHP?