漏洞成因:

成都創(chuàng)新互聯(lián)公司專注于企業(yè)全網(wǎng)整合營銷推廣、網(wǎng)站重做改版、疏附網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5網(wǎng)站設(shè)計(jì)、商城網(wǎng)站制作、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為疏附等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

  XML 文件的解析依賴 libxml 庫，而 libxml 2.9以前的版本默認(rèn)支持并開啟了外部實(shí)體的引用，服務(wù)端解析用戶提交的 xml 文件時(shí)未對 xml 文件引用的外部實(shí)體（含外部普通實(shí)體和外部參數(shù)實(shí)體）做合適的處理。

影響:

  常見的XML解析方法有：DOMDocument、SimpleXML、XMLReader，這三者都基于libxml庫解析XML，所以均受影響，xml_parse函數(shù)則基于expact解析器，默認(rèn)不載入外部DTD,不受影響。

修復(fù):

  php解析xml文件之前使用libxml_disable_entity_loader(true) 來禁止加載外部實(shí)體。

***代碼:

 

]>
&xxe;
EOF;

$xml = simplexml_load_string($xmlstring);

print_r($xml);
?>