libxml_disable_entity_loader

(PHP 5 >= 5.2.11)

libxml_disable_entity_loader — 外部エンティティの読み込み機能を無効にする

説明

bool libxml_disable_entity_loader ([ bool $disable = true ] )

外部エンティティ読み込み機能の有効/無効を切り替えます。

パラメータ

disable: libxml を使用する拡張モジュール (DOM、XMLWriter および XMLReader) で、外部エンティティの読み込み機能を無効 (TRUE) あるいは有効 (FALSE) にします。

返り値

変更前の値を返します。

参考

libxml_use_internal_errors() - libxmlエラーを無効にし、ユーザーが必要に応じてエラー情報を取得できるようにする
LIBXML_NONET 定数

add a note User Contributed Notes libxml_disable_entity_loader

simonsimcity 29-Feb-2012 06:23


Using this function you can prevent a vulnerable to Local and Remote File Inclusion attacks.



You'll see it in an example where I load and validate the following string:



<!DOCTYPE scan [<!ENTITY test SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd">]>

<scan>&test;</scan>



One way to prevent that the file in given back is to set this value to 0.

Please take a closer look at the release of symfony 2.0.11

add a note