就像\0截断一样，XXE漏洞正在逐步走向消失 (W

这两年，XXE才逐步被大家关注。
但实际上，早在2012年，libxml2.9版本已经默认关闭了XML外部实体的解析。但可能因为当时这个版本的libxml还未普及，所以并无太多人关注。
PHP，另外还有一些依赖libxml的应用，包括IOS，只要依赖于libxml2的项目，都曾经受到XXE漏洞的威胁。
不过现在再也不用担心了。最近发现我手里所有vps，里面的libxml库都已经到2.9以后了，再测试simplexml_load_string就已经无效了。许多生产环境现在已经在慢慢更新，感觉XXE在php中将会慢慢消亡。
包括windows下的phpstudy，里面包含的5.5 5.6版本的php所编译的库也已经到2.9了，但用5.4还是可以测试出XXE漏洞的。
我特别用三个白帽编译了两个不同的libxml（2.8.0和2.9.1），两个相同的php环境（最新版5.6.15）分别依赖这两个libxml，大家可以看看差别：http://5942f4823f8002ba3.jie.sangebaimao.com/

这是一个参考：https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing

对PHP越来越安全我还是很开心的，毕竟是最好的语言[doge]。