PHP libxml函数

PHP libxml_set_external_entity_loader() 函数更改默认的外部实体加载器。这可用于抑制任意外部实体的扩展,以避免 XXE 攻击,即使已为相应操作设置了 LIBXML_NOENT,并且通常比调用 libxml_disable_entity_loader().

语法

libxml_set_external_entity_loader(resolver_function)

参数

resolver_function必填。 指定具有以下签名的函数: 
resolver(public_id, system_id, context)
  • public_id:公共 ID。
  • system_id:系统 ID .
  • context:包含四个元素"directory"、"intSubName"、"extSubURI"和"extSubSystem"的数组。
这个可调用对象应该返回一个资源,一个可以打开资源的字符串。如果返回null,实体引用解析将会失败。

返回值

成功时返回 true,失败时返回 false。

示例:libxml_set_external_entity_loader() 示例

下面的示例显示了libxml_set_external_entity_loader()函数的用法。

<?php
$xml = <<<XML
<!DOCTYPE foo PUBLIC "-//FOO/BAR" "http://example.com/foobar">
<foo>bar</foo>
XML;

$dtd = <<<DTD
<!ELEMENT foo (#PCDATA)>
DTD;

libxml_set_external_entity_loader(
  function ($public, $system, $context) use($dtd) {
    var_dump($public);
    var_dump($system);
    var_dump($context);
    $f = fopen("php://临时","r+");
    fwrite($f, $dtd);
    rewind($f);
    return $f;
  }
);

$dd = new DOMDocument;
$r  = $dd->loadXML($xml);

var_dump($dd->validate());
?>

上述代码的输出将是:

string(10) "-//FOO/BAR"
string(25) "http://example.com/foobar"
array(4) {
    ["directory"]    => NULL
    ["intSubName"]   => NULL
    ["extSubURI"]    => NULL
    ["extSubSystem"] => NULL
}
bool(true)