漏洞成因:

成都创新互联公司专注于企业全网整合营销推广、网站重做改版、疏附网站定制设计、自适应品牌网站建设、H5网站设计、商城网站制作、集团公司官网建设、成都外贸网站建设、高端网站制作、响应式网页设计等建站业务，价格优惠性价比高，为疏附等各大城市提供网站开发制作服务。

  XML 文件的解析依赖 libxml 库，而 libxml 2.9以前的版本默认支持并开启了外部实体的引用，服务端解析用户提交的 xml 文件时未对 xml 文件引用的外部实体（含外部普通实体和外部参数实体）做合适的处理。

影响:

  常见的XML解析方法有：DOMDocument、SimpleXML、XMLReader，这三者都基于libxml库解析XML，所以均受影响，xml_parse函数则基于expact解析器，默认不载入外部DTD,不受影响。

修复:

  php解析xml文件之前使用libxml_disable_entity_loader(true) 来禁止加载外部实体。

***代码:

 

]>
&xxe;
EOF;

$xml = simplexml_load_string($xmlstring);

print_r($xml);
?>

分享题目：xxehacking
文章源于：http://pwwzsj.com/article/pojjjs.html