درود بر شما! حملات LFI/RFI، از جمله خطرناک ترین حملاتی هستند که در بستر وب انجام می شود. ساختار حملات LFI بدین ترتیب است که نفوذگر، با استفاده از ضعف هایی که در طراحی و پیاده سازی برنامه های کاربردی تحت وب وجود دارد، قادر خواهد بود تا محتویات فایلی را در سیستم هدف، مشاهده نماید. فرض کنید یک سایت اینترنتی (سایت هدف) که با استفاده از زبان php طراحی شده، در یکی از صفحات خود، لیستی از فایلهای حاوی یک سری پیغام را به کاربر نمایش داده و کاربر از میان این فایلها یکی را انتخاب کرده و محتویات این فایل را مشاهده می نماید. در صورتی که طراحی سایت، به درستی انجام نشده باشد، نفوذگر قادر خواهد بود تا به جای انتخاب از بین فایلها، اسم مورد نظر خود را به سمت سرور ارسال نماید. مثلاً به جای file1.txt، نفوذگر درخواست دیدن این فایل را ارسال می کند: "etc/passwd/" بدین ترتیب سایت هدف، محتویات فایل مربوطه را (که در روی سیستم هدف قرار دارد) به نفوذگر نمایش خواهد داد. این حمله تحت عنوان Local File Inclusion شناخته شده و می تواند منجر به دسترسی نفوذگر به اطلاعات حساسی نظیر فایلهای پیکربندی، کلمات عبور و ... شود. حملات RFI نیز با همین رویکرد انجام می شود. تنها تفاوت این حملات، آن است که در حملات RFI، نفوذگر به جای ارسال یک آدرس فایل که روی سیستم هدف قرار دارد، آدرس فایلی را وارد می کند که در یک سیستم راه دور (احتمالاً توسط خود نفوذگر) قرار داده شده است. بدین ترتیب، زمانی که سایت هدف بارگزاری می شود، این فایل راه دور توسط سایت هدف، به کاربر نمایش داده خواهد شد. حال اگر این فایل راه دور، یک فایل php باشد، این فایل توسط سایت هدف برای نفوذگر نمایش داده می شود. درست مثل اینکه این فایل واقعاً روی سایت هدف وجود داشته! این فایل php، ممکن است هر نوع فایلی باشد ولی غالباً از فایلی استفاده می شود که یک سری قابلیت برای نفوذگر فراهم آورد. قابلیت هایی نظیر آپلود فایل، اجرای دستور و ... که تماماً توسط توابع php امکان پذیر است. این نوع فایلها تحت عنوان web shell شناخته شده و در حملات RFI بسیار پر استفاده هستند.