libxml_set_external_entity_loader

(PHP 5 >= 5.4.0, PHP 7, PHP 8)

libxml_set_external_entity_loader — 更改默认外部实体加载器

说明

libxml_set_external_entity_loader(?callable $resolver_function): bool

更改默认外部实体加载器。这可以用来抑制任意外部实体的扩展，以避免 XXE 攻击，即使在相应操作中设置了LIBXML_NOENT，并且通常比调用libxml_disable_entity_loader()更可取。

参数

resolver_function

一个具有以下签名的 callable

resolver(?string $public_id, string $system_id, array $context): resource|string|null

public_id: 公共 ID。
system_id: 系统 ID。
context: 一个包含四个元素的数组："directory"、"intSubName"、"extSubURI" 和 "extSubSystem"。

此可调用函数应该返回一个 resource，一个可以从中打开资源的 string。如果返回null，实体引用解析将失败。

返回值

成功时返回true，失败时返回false。

示例

示例 #1 libxml_set_external_entity_loader() 示例

<?php
$xml = <<<XML
<!DOCTYPE foo PUBLIC "-//FOO/BAR" "http://example.com/foobar">
<foo>bar</foo>
XML;

$dtd = <<<DTD
<!ELEMENT foo (#PCDATA)>
DTD;

libxml_set_external_entity_loader(
 function ($public, $system, $context) use($dtd) {
 var_dump($public);
 var_dump($system);
 var_dump($context);
 $f = fopen("php://temp", "r+");
 fwrite($f, $dtd);
 rewind($f);
 return $f;
 }
);

$dd = new DOMDocument;
$r = $dd->loadXML($xml);

var_dump($dd->validate());
?>

上面的示例将输出

string(10) "-//FOO/BAR"
string(25) "http://example.com/foobar"
array(4) {
    ["directory"]    => NULL
    ["intSubName"]   => NULL
    ["extSubURI"]    => NULL
    ["extSubSystem"] => NULL
}
bool(true)

参见

libxml_disable_entity_loader() - 禁用加载外部实体的功能
libxml_get_external_entity_loader() - 获取当前外部实体加载器

改进此页面

了解如何改进此页面 • 提交请求请求 • 报告错误

＋添加注释

用户贡献的注释

此页面没有用户贡献的注释。