libxml_disable_entity_loader

(PHP 5 >= 5.2.11, PHP 7, PHP 8)

libxml_disable_entity_loader — Desactiva la carga de entidades externas

Advertencia

Esta función ha sido declarada OBSOLETA a partir de PHP 8.0.0. Su uso está totalmente desaconsejado.

Descripción

#[\Deprecated]
libxml_disable_entity_loader(bool $disable = true): bool

Activa o desactiva la carga de entidades externas. Se debe tener en cuenta que desactivar la carga de entidades externas puede causar problemas al cargar documentos XML.

A partir de libxml 2.9.0, la sustitución de entidades está desactivada por defecto, por lo que no es necesario desactivar la carga de entidades externas, a menos que sea necesario resolver referencias de entidades internas con LIBXML_NOENT, LIBXML_DTDVALID, o LIBXML_DTDLOAD. Generalmente, es preferible utilizar libxml_set_external_entity_loader() para suprimir la carga de entidades externas. La constante LIBXML_NO_XXE también puede ser utilizada para evitar esto (disponible únicamente en Libxml >= 2.13.0, a partir de PHP 8.4.0).

Parámetros

disable: Desactiva (true) o activa (false) la carga de entidades externas por las extensiones libxml (tales como DOM, XMLWriter y XMLReader).

Valores devueltos

Devuelve la configuración anterior.

Historial de cambios

Versión	Descripción
8.0.0	Esta función ha sido deprecada.

Ver también

libxml_use_internal_errors() - Se desactiva el reporte de errores de libxml y se almacenan para su lectura posterior
libxml_set_external_entity_loader() - Cambia el cargador de entidades externas por defecto
La constante LIBXML_NOENT
La constante LIBXML_DTDVALID
La constante LIBXML_NO_XXE

Found A Problem?

Learn How To Improve This Page • Submit a Pull Request • Report a Bug

＋add a note

User Contributed Notes 6 notes

down

suconghou at gmail dot com ¶

4 years ago

In PHP 8.0 and later, PHP uses libxml versions from 2.9.0, libxml_disable_entity_loader is deprecated.
so it is now safe to remove all `libxml_disable_entity_loader` calls on php8

if you want Backwards Compatibility

use this snippet

if (\PHP_VERSION_ID < 80000) {
    libxml_disable_entity_loader(true);
}

down

vavra at 602 dot cz ¶

7 years ago

If is called 
libxml_disable_entity_loader(true);

, it causes that new SoapClient(.) fails with

SOAP-ERROR: Parsing WSDL: Couldn't load from 'D:\path/dm_operations.wsdl' : failed to load external entity "D:\path/dm_operations.wsdl

because this wsdl imports a xsd as an another external file.
Tested on php 7.1.12, win x64.

down

editor at geekkb.com ¶

2 years ago

There is an extra \ should be deleted before PHP_VERSION_ID in the code which suconghou posted 2 years ago.

if (PHP_VERSION_ID < 80000) {
    libxml_disable_entity_loader(true);
}

down

phofstetter at sensational dot ch ¶

11 years ago

Be mindful that this also disables url loading in simplexml_load_file() and likely other libxml based functions that deal with URLs

down

simonsimcity ¶

13 years ago

Using this function you can prevent a vulnerable to Local and Remote File Inclusion attacks.

You'll see it in an example where I load and validate the following string:

<!DOCTYPE scan [<!ENTITY test SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd">]>
<scan>&test;</scan>

One way to prevent that the file in given back is to set this value to 0.
Please take a closer look at the release of symfony 2.0.11

down

-3

brendan at bloodbone dot ws ¶

11 years ago

This also seems to have an impact on <xsl:import /> statements if this is applied when loading XSLT for the XSLTProcessor class.

＋add a note