究其根本，本地文件包含攻击（LFI）往往源于 Web 应用程序对用户输入信任度过高。想象一下，一个服务器端脚本，比如 PHP 的 `include()` 或 `require()` 函数，本意是加载本地的配置文件、模板文件或者其他脚本。问题就出在这里，当这些函数的文件路径参数竟然可以通过 URL 请求参数等方式被外部用户操控时，麻烦就来了。