¿Alguien puede incluir externamente mi archivo php en sus scripts? P.ej. Tengo un archivo con clases que ejecutan código a db, y es posible que alguien de un entorno externo incluya mi archivo php y pueda ejecutar las clases.
Sus archivos PHP contienen scripts que se ejecutan solo en el lado del servidor.
Un escenario en el que alguien podría ejecutar sus scripts PHP en su nombre significa que su aplicación / servidor web está comprometido o que ha otorgado permisos específicos a un tercero de confianza para que eso suceda.
Esto podría ser posible si permite el cruce del directorio relacionado con la lectura: un atacante podría atravesar su sistema de archivos y encontrar el archivo de inclusión. Si él controla su servidor, entonces podría eliminar algún código PHP con ese archivo de inclusión.
Opcionalmente: la inclusión de archivos remotos es una variación de la vulnerabilidad de las vulnerabilidades de inclusión de archivos al especificar una URL y no una ruta de archivo. El atacante tendría que controlar su servidor, averiguar el nombre del archivo de inclusión y cargar un script PHP mediante un servicio de FTP (suponiendo que descubrió o descifró la contraseña del usuario de FTP).
Por esta razón, no ejecutamos servicios FTP, ya que FTP pasa las credenciales en texto sin formato, la gente suele dejar abierto el FTP anónimo, a menudo usa contraseñas simples, etc. ...
Lea otras preguntas en las etiquetas php