(PHP 5 >= 5.4.0, PHP 7, PHP 8)
libxml_set_external_entity_loader — デフォルトの外部エンティティローダーを変更する
デフォルトの外部エンティティローダーを変更します。
たとえ LIBXML_NOENT
が個別のXMLの操作に設定されている場合でも、
XXE攻撃を避けるために、任意の外部エンティティの展開を抑制するために使うことができます。
また、 libxml_disable_entity_loader() を呼び出すことよりも、この関数を呼び出すほうが通常は好ましいです。
resolver_function
次のシグネチャを持つ callable を指定します。:
$public_id
, string $system_id
, array $context
): resource|string|nullpublic_id
system_id
context
"directory"
, "intSubName"
,
"extSubURI"
, "extSubSystem"
です。
null
でなければなりません。null
を返す場合、エンティティ参照の解決は失敗します。
成功した場合に true
を、失敗した場合に false
を返します。
例1 libxml_set_external_entity_loader() の例
<?php
$xml = <<<XML
<!DOCTYPE foo PUBLIC "-//FOO/BAR" "http://example.com/foobar">
<foo>bar</foo>
XML;
$dtd = <<<DTD
<!ELEMENT foo (#PCDATA)>
DTD;
libxml_set_external_entity_loader(
function ($public, $system, $context) use($dtd) {
var_dump($public);
var_dump($system);
var_dump($context);
$f = fopen("php://temp", "r+");
fwrite($f, $dtd);
rewind($f);
return $f;
}
);
$dd = new DOMDocument;
$r = $dd->loadXML($xml);
var_dump($dd->validate());
?>
上の例の出力は以下となります。
string(10) "-//FOO/BAR" string(25) "http://example.com/foobar" array(4) { ["directory"] => NULL ["intSubName"] => NULL ["extSubURI"] => NULL ["extSubSystem"] => NULL } bool(true)