Remote file inclusion (RFI) je vrsta hekerskega napada, ki se pojavlja pretežno na spletnih mestih. Ta napad se zgodi, če skrbnik ali graditelj spletnega mesta ne vključuje ustreznega preverjanja veljavnosti in lahko vsak, ki želi, pritihotapi datoteko v sistem. S tem napadom heker v strežnik vnese oddaljeno datoteko, vsebina datoteke pa uniči strežnik glede na to, kaj je heker kodiral. Nekateri napadi na oddaljeno vključitev datotek spletnemu mestu samo dodajo naključni niz besedila, drugi pa lahko povzročijo nekaj bolj zlonamernega, na primer zavrnitev storitve (DoS), krajo podatkov ali nadaljnje ranljivosti na spletnem mestu.
Vsa spletna mesta so sestavljena iz številnih datotek – za slike, kodiranje in druge funkcije. Če skrbnik ne vključuje pravil za preverjanje veljavnosti, ki preverjajo dohodne datoteke, je oddaljena vključitev datoteke eden najlažjih napadov za hekerje. Heker mora samo manipulirati z naslovom spletnega mesta, da ga zavede, da vključi novo datoteko, in oddaljena datoteka bo naložena na strežnik.
Sama oddaljena datoteka je običajno besedilna datoteka, ki vsebuje nekakšno zlonamerno kodo. V najboljšem primeru heker samo uporabi oddaljeno vključitev datoteke, da na spletno mesto doda naključno besedilo, da ga uniči. To je nadležno, vendar ni nujno nevarno. Skrbniki bodo ugotovili, da je njihov sistem ranljiv in na ta način heker morda izvaja storitev tako, da opozori skrbnike na varnostno luknjo.
Pogosteje pa je napad oddaljene vključitve datotek veliko hujši za lastnika spletnega mesta. Ko se skript v besedilni datoteki izvede znotraj strežnika, lahko povzroči napad DoS tako, da nenehno pinga strežnik, dokler spletno mesto ne deluje več. Vse podatke, shranjene v bazi podatkov, je mogoče tudi ukrasti s spletne strani.
Drug razlog za uporabo oddaljene vključitve datotek je, da spletno mesto postane šibkejše za druge napade. Ko se koda izvede, lahko zlahka ustvari velike luknje v sicer varnem spletnem mestu, kar bo morda potreboval heker, da bi prišel dlje v spletno mesto, strežnik ali bazo podatkov. Skrbniku je to morda težko odpraviti, ker lahko po izvedbi kode spremeni ali manipulira z vsemi drugimi datotekami, povezanimi s spletnim mestom.
Da ne bi bili vdrti, skrbniki običajno postavijo pravila preverjanja za zunanje datoteke. Še bolje, zunanje datoteke niso dovoljene v sistem skozi takšne vrzeli. RFI je enostaven vdor tako za nove kot za napredne hekerje, vendar če skrbnik zagotovi preverjanje vseh datotek, se oddaljena datoteka ne bi smela pritihotapiti.