在前些时间，国赛上再一次遇到了服务器本地文件包含session的漏洞，这是个老生常谈的东西了，但还是常常可以碰到，而我们想利用session来getshell往往还需要一些特殊的方法，借此机会，研究一番。

"白话"PHP文件包含漏洞。本文并未打算向读者介绍更多更新的利用手法或前沿技术(感觉大牛实在太多，自己还是先继续学习吧)，写本文的目的是为了帮打算进入安全的小伙伴通过文件包含漏洞的引子理清一些基本但重要的概念，并介绍一些自己学习的方法(不一定是最好的)，笔者认为，只有当一个人心中有对事物的整体框架，才能不迷惑，知道自己该如何作有效有质的努力，本文就是打算做这样一件事，不一定能做好，但确实尽力了，还请多多见谅！