,, XML文件的解析依赖libxml库,而以前的版本默认支持并开启了外部实体的引,用服务端解析用户提交的XML文件时未对XML文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理。
,,常见的XML解析方法有:DOMDocument, SimpleXML, XMLReader,这三者都基于libxml库解析XML,所以均受影响,xml_parse函数则基于expact解析器,默认不载入外部DTD,不受影响。
,php解析xml文件之前使用libxml_disable_entity_loader(真正的)来禁止加载外部实体。
