Deutsch
Deutsch
Bei der Verarbeitung von XML -Dateien in PHP sind zwei häufig verwendete Funktionen, die zur Behandlung externer Entitäten und einer deaktivierten externen Entitätsbelastung verwendet werden. Die Verwendung von beiden kann jedoch einige Kompatibilitätsprobleme verursachen, insbesondere wenn es um XML mit externen DTDs (Dokumenttypdefinitionen) und Entitäten geht. In diesem Artikel werden die Hauptursachen dieser Probleme untersucht und Lösungen bereitgestellt.
xml_set_external_entity_ref_handler ist eine PHP -Funktion, mit der Sie eine benutzerdefinierte Rückruffunktion angeben können, um Referenzen auf externe Entitäten in XML -Dokumenten zu verarbeiten. Externe Entitäten werden häufig verwendet, um externe Ressourcen in XML -Dokumenten wie DTD -Dateien, andere XML -Dateien oder Textdateien einzuführen.
Bei der Analyse eines XML -Dokuments mit einer externen Entitätsreferenz ruft XML_Set_External_entity_ref_handler die von Ihnen definierte Rückruffunktion auf, mit der Sie die Verarbeitungslogik vor der Analyse der Entität anpassen können.
libxml_disable_entity_loader ist eine weitere PHP -Funktion, die den XML -Parser zum Laden externer Entitäten deaktiviert. Diese Funktion wird normalerweise verwendet, um die Injektionsangriffe für die externe Entität (XXE -Angriffe) zu verhindern. Durch Deaktivieren der Belastung externer Entitäten können Sie sicherstellen, dass der XML -Parser nicht versehentlich vertrauliche Informationen aus externen Ressourcen lädt.
Die Funktionen dieser beiden Funktionen scheinen irrelevant zu sein, können jedoch konflikt. xml_set_external_entity_ref_handler erwartet in der Lage, das Laden externer Entitäten zu verarbeiten, während libxml_disable_entity_loader das Laden externer Entitäten deaktiviert. Wenn das Laden der Entität deaktiviert ist, kann die Rückruffunktion von xml_set_external_entity_ref_handler nicht ausgelöst werden, da der XML -Parser nicht versucht, externe Entitäten zu laden.
Dies führt zu Kompatibilitätsproblemen zwischen beiden. Wenn Sie weiterhin XML_Set_External_entity_Ref_handler verwenden möchten, um nach dem Laden der Entitätsentität externe Entitätsreferenzen zu behandeln, müssen Sie einige spezielle Maßnahmen ergreifen.
Um sicherzustellen, dass xml_set_external_entity_ref_handler mit libxml_disable_entity_loader kompatibel ist, können Sie die folgenden Methoden annehmen:
Die häufigste Praxis besteht darin, die Belastung der externen Entität zu deaktivieren, um XXE -Angriffe zu verhindern, aber auch mit XML_Set_External_entity_ref_handler spezifische Referenzen für externe Entitäten umgehen. Um dies zu erreichen, können Sie den folgenden Code verwenden:
<span><span><span class="hljs-comment">// Deaktivieren Sie die Beladung der externen Entität</span></span><span>
</span><span><span class="hljs-title function_ invoke__">libxml_disable_entity_loader</span></span><span>(</span><span><span class="hljs-literal">true</span></span><span>);
</span><span><span class="hljs-comment">// Einrichten der Referenzverarbeitungsfunktion der externen Entität einrichten</span></span><span>
</span><span><span class="hljs-title function_ invoke__">xml_set_external_entity_ref_handler</span></span><span>(function (</span><span><span class="hljs-variable">$entity</span></span><span>, </span><span><span class="hljs-variable">$system</span></span><span>, </span><span><span class="hljs-variable">$public</span></span><span>) {
</span><span><span class="hljs-comment">// Behandeln Sie Referenzen für externe Entitäten um</span></span><span>
</span><span><span class="hljs-comment">// Zum Beispiel laden Entitäten aus lokalen Dateien oder Datenbanken</span></span><span>
</span><span><span class="hljs-keyword">return</span></span><span> </span><span><span class="hljs-string">'/path/to/your/local/entity'</span></span><span>;
});
</span><span><span class="hljs-comment">// Analyse XML</span></span><span>
</span><span><span class="hljs-variable">$xml</span></span><span> = </span><span><span class="hljs-title function_ invoke__">simplexml_load_file</span></span><span>(</span><span><span class="hljs-string">'yourfile.xml'</span></span><span>);
</span></span>Auf diese Weise deaktiviert libxml_disable_entity_loader das Laden aller externen Entitäten, während xml_set_external_entity_ref_handler verwendet werden kann, um die Verarbeitung anzupassen, wenn eine bestimmte externe Entität auftritt.
Wenn Sie in bestimmten Situationen zulassen, dass externe Entitäten in bestimmten Situationen geladen werden können, kann die Entitätsbelastung während einer bestimmten Verarbeitungsphase vorübergehend aktiviert werden. Sie können die Entitätsbelastung vor und nach dem Parsen von XML explizit aktivieren oder deaktivieren:
<span><span><span class="hljs-comment">// Deaktivieren Sie die Beladung der externen Entität</span></span><span>
</span><span><span class="hljs-title function_ invoke__">libxml_disable_entity_loader</span></span><span>(</span><span><span class="hljs-literal">true</span></span><span>);
</span><span><span class="hljs-comment">// Analyse XML</span></span><span>
</span><span><span class="hljs-variable">$xml</span></span><span> = </span><span><span class="hljs-title function_ invoke__">simplexml_load_file</span></span><span>(</span><span><span class="hljs-string">'yourfile.xml'</span></span><span>);
</span><span><span class="hljs-comment">// Lassen Sie externe Entitäten in einem bestimmten Zeitpunkt laden</span></span><span>
</span><span><span class="hljs-title function_ invoke__">libxml_disable_entity_loader</span></span><span>(</span><span><span class="hljs-literal">false</span></span><span>);
</span><span><span class="hljs-comment">// Fahren Sie mit anderen Operationen fort</span></span><span>
</span></span>Dieser Ansatz ermöglicht eine detailliertere Kontrolle, wenn externe Einheiten geladen werden, wodurch Sicherheitsprobleme vermieden werden und gleichzeitig eine flexible XML -Parsen ermöglicht werden.
Wenn Sie keine externe Entitätsladen deaktivieren möchten, aber dennoch Sicherheitsprobleme vermeiden möchten, können Sie Sicherheitskontrollen in der Rückruffunktion xml_set_external_entity_ref_handler implementieren. Sie können beispielsweise überprüfen, ob die URI einer externen Entität vertrauenswürdig ist oder nur die geladenen lokalen Dateien ermöglichen:
<span><span><span class="hljs-comment">// Einrichten der Referenzverarbeitungsfunktion der externen Entität einrichten</span></span><span>
</span><span><span class="hljs-title function_ invoke__">xml_set_external_entity_ref_handler</span></span><span>(function (</span><span><span class="hljs-variable">$entity</span></span><span>, </span><span><span class="hljs-variable">$system</span></span><span>, </span><span><span class="hljs-variable">$public</span></span><span>) {
</span><span><span class="hljs-comment">// Sicherheitsinspektionen durchführen,Stellen Sie sicher, dass nicht vertrauenswürdige Entitäten nicht geladen sind</span></span><span>
</span><span><span class="hljs-keyword">if</span></span><span> (</span><span><span class="hljs-title function_ invoke__">strpos</span></span><span>(</span><span><span class="hljs-variable">$system</span></span><span>, </span><span><span class="hljs-string">'trusted-path'</span></span><span>) === </span><span><span class="hljs-literal">false</span></span><span>) {
</span><span><span class="hljs-keyword">return</span></span><span> </span><span><span class="hljs-string">''</span></span><span>; </span><span><span class="hljs-comment">// Geben Sie eine leere Zeichenfolge zurück, um anzuzeigen, dass die Entität nicht geladen ist</span></span><span>
}
</span><span><span class="hljs-comment">// Bewältigen vertrauenswürdigen externen Unternehmen</span></span><span>
</span><span><span class="hljs-keyword">return</span></span><span> </span><span><span class="hljs-string">'/path/to/your/trusted/entity'</span></span><span>;
});
</span><span><span class="hljs-comment">// Analyse XML</span></span><span>
</span><span><span class="hljs-variable">$xml</span></span><span> = </span><span><span class="hljs-title function_ invoke__">simplexml_load_file</span></span><span>(</span><span><span class="hljs-string">'yourfile.xml'</span></span><span>);
</span></span>Mit diesem Ansatz können Sie steuern, welche Entitäten geladen werden können, während externe Entitäten geladen werden können, wodurch potenzielle Sicherheitsrisiken vermieden werden können.
In PHP haben die beiden Funktionen xml_set_external_entity_ref_handler und libxml_disable_entity_loader unterschiedliche Zwecke, aber es kann Konflikte zwischen ihnen geben. Durch angemessene Konfiguration und Codeanpassung können Sie sicherstellen, dass diese beiden Funktionen kompatibel sein können, die Anforderungen der Referenzverarbeitung externer Entität erfüllen und die Sicherheitsrisiken vermeiden, die durch das Laden externer Entitäten eingeführt werden. Die Auswahl der richtigen Lösung hängt von Ihren spezifischen Anforderungen und Sicherheitsanforderungen ab.
