Attaco hacker che si manifesta quando i parametri passati a uno script web vulnerabile non sono opportunamente verificati prima di essere usati per includere dei file in un portale web.
Ne esistono di due categorie: Local File Inclusion e Remote File Inclusion.
Nel primo chi attacca può usare solo i file residenti nel sistema come parametri da inserire in uno script vulnerabile, mentre nel secondo file residenti in altri web server.