,, XML文件的解析依赖libxml库,而以前的版本默认支持并开启了外部实体的引,用服务端解析用户提交的XML文件时未对XML文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理。
,,常见的XML解析方法有:DOMDocument, SimpleXML, XMLReader,这三者都基于libxml库解析XML,所以均受影响,xml_parse函数则基于expact解析器,默认不载入外部DTD,不受影响。
,php解析xml文件之前使用libxml_disable_entity_loader(真正的)来禁止加载外部实体。
& lt; php ? 时间=美元xmlstring & lt; & lt; & lt; EOF & lt; ? xml version=" 1.0 ",编码=" utf - 8 " ?祝辞, & lt; ! DOCTYPE ANY ( ,& lt; ! ENTITY xxe  SYSTEM “文件:///E/wwwroot/.user.ini”比; ]在; & lt; X>, xxe; & lt;/X> EOF; xml 美元;=,simplexml_load_string ($ xmlstring); print_r ($ xml); 祝辞;