libxml_disable_entity_loader

(PHP 5 >= 5.2.11)

libxml_disable_entity_loader — Deshabilita la capacidad de cargar entidades externas

Descripción

bool libxml_disable_entity_loader ([ bool $disable = true ] )

Habilita/deshabilita la capacidad de cargar entidades externas.

Parámetros

disable: Deshabilita (TRUE) o habilita (FALSE) extensiones libxml (tal como DOM, XMLWriter y XMLReader) para cargar entidades externas.

Valores devueltos

Devuelve el valor anterior.

Ver también

libxml_use_internal_errors() - Deshabilita errores libxml y permite al usuario extraer información de errores según sea necesario
La constante LIBXML_NONET

add a note User Contributed Notes libxml_disable_entity_loader - [1 notes]

down

simonsimcity ¶

1 year ago


Using this function you can prevent a vulnerable to Local and Remote File Inclusion attacks.



You'll see it in an example where I load and validate the following string:



<!DOCTYPE scan [<!ENTITY test SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd">]>

<scan>&test;</scan>



One way to prevent that the file in given back is to set this value to 0.

Please take a closer look at the release of symfony 2.0.11

add a note