PHP 8.4.0 RC2 available for testing

libxml_set_external_entity_loader

(PHP 5 >= 5.4.0, PHP 7, PHP 8)

libxml_set_external_entity_loaderデフォルトの外部エンティティローダーを変更する

説明

libxml_set_external_entity_loader(?callable $resolver_function): bool

デフォルトの外部エンティティローダーを変更します。 たとえ LIBXML_NOENT が個別のXMLの操作に設定されている場合でも、 XXE攻撃を避けるために、任意の外部エンティティの展開を抑制するために使うことができます。 また、 libxml_disable_entity_loader() を呼び出すことよりも、この関数を呼び出すほうが通常は好ましいです。

パラメータ

resolver_function

次のシグネチャを持つ callable を指定します。:

resolver(?string $public_id, string $system_id, array $context): resource|string|null
public_id
パブリック ID
system_id
システムID
context
4つのキーを持つ配列。 キーは "directory", "intSubName", "extSubURI", "extSubSystem" です。
この callable は、 リソースまたはリソースをオープンできる文字列あるいは null でなければなりません。null を返す場合、エンティティ参照の解決は失敗します。

戻り値

成功した場合に true を、失敗した場合に false を返します。

例1 libxml_set_external_entity_loader() の例

<?php
$xml
= <<<XML
<!DOCTYPE foo PUBLIC "-//FOO/BAR" "http://example.com/foobar">
<foo>bar</foo>
XML;

$dtd = <<<DTD
<!ELEMENT foo (#PCDATA)>
DTD;

libxml_set_external_entity_loader(
function (
$public, $system, $context) use($dtd) {
var_dump($public);
var_dump($system);
var_dump($context);
$f = fopen("php://temp", "r+");
fwrite($f, $dtd);
rewind($f);
return
$f;
}
);

$dd = new DOMDocument;
$r = $dd->loadXML($xml);

var_dump($dd->validate());
?>

上の例の出力は以下となります。

string(10) "-//FOO/BAR"
string(25) "http://example.com/foobar"
array(4) {
    ["directory"]    => NULL
    ["intSubName"]   => NULL
    ["extSubURI"]    => NULL
    ["extSubSystem"] => NULL
}
bool(true)

参考

add a note

User Contributed Notes

There are no user contributed notes for this page.
To Top