PHP XML注入及防护（XXE）

XML注入攻击也被称为XXE（XML External Entity attack）漏洞。

XML 文件的解析依赖于libxml库，服务端解析用户提交的XML文件时，未对 XML 文件引用的外部实体进行合适的处理，并且实体的 URL 支持 file:// 和 php:// 等协议，攻击者可以在 XML文件中声明 URI，指向服务器本地的实体造成攻击。

XXE 漏洞一旦被攻击者利用，可以读取服务器任意文件、执行任意代码、发起 DDos 攻击。

在 XML 中引入外部实体（含外部普通实体和外部参数实体）一定要注意器安全性，需要进行严格的检查，或者禁止注入。

1、对用户的输入进行过滤，如 <、>、'、"、& 等。

2、在 PHP 解析 XML 文件之前使用 libxml_disable_entity_loader(true) 禁止加载外部实体，并使用libxml_use_internal_errors()禁止报错。

注：常见的 XML 解析方法有 DOMDocument、SimpleXML、XMLReader，这三者都给予libxml 库解析 XML，所以均受影响。 xml_parse() 函数基于expact 解析器，默认不载入外部 DTD，不受影响。