Ho la seguente parte di codice nella mia applicazione web:
$data = "dir/files/".$_GET['f'].".pdf";
Un paio di righe in basso che ho ricevuto:
if(file_exists($data)){
include($data);
Un utente malintenzionato potrebbe scavalcarlo per sfruttare una RFI sul mio sistema? O è solo LFI?