刚刚看到推送这篇文章,由这个半年前的 xxe 漏洞: http://www.guancha.cn/TMT/2018_07_04_462639.shtml
联想到 php 写代码调用simplexml_load_string
之前一定要先这么把外部引用实体关掉:
https://github.com/helei112g/payment/blob/v4.1.7/src/Utils/DataParser.php#L56
然后查看了我当前项目里不少三方库( swiftmailer、thenbsp/wechat、flc/alidayu 等)调用simplexml_load_string
之前都没关,我也不知道关掉后会不会有问题
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.