【PHP8.x】LIBXML_NOENT定数の使い方

LIBXML_NOENT定数の使い方について、初心者にもわかりやすく解説します。

作成日: 2025年09月11日更新日: 2026年02月15日

基本的な使い方

LIBXML_NOENT定数は、XML文書を読み込む際に、外部エンティティ参照をその内容に置き換えるかどうかを制御するオプションを表す定数です。XML文書では、文書の一部を別のファイルやURLから読み込む「外部エンティティ」という仕組みを利用できる場合があります。この定数を指定してXMLを読み込むと、文書内に「この部分は外部のファイルから持ってくる」という指示があった場合に、実際にその外部のデータを読み込み、XMLの内容として展開します。

例えば、複数のXML文書で共通して使われるような情報を別のファイルにまとめておき、各XML文書からそれを参照するような場合に使用されます。PHPでは、DOMDocument::load()やsimplexml_load_string()といったXMLを読み込む関数やメソッドに、オプションとしてこの定数を渡すことで、外部エンティティの処理を有効にできます。

しかし、この定数を安易に使用することは推奨されません。外部エンティティの解決を許可すると、悪意のあるXMLデータを通じて、サーバー上の機密ファイルを読み取られたり、予期せぬネットワークアクセスが発生したりする「XXE（XML External Entity）攻撃」と呼ばれるセキュリティ上の脆弱性につながる可能性があります。PHP 8以降では、libxml_disable_entity_loader()関数の代わりにこのオプションを明示的に管理することが、より安全なXML処理のために推奨されています。信頼できないソースから提供されたXMLデータを処理する際には、セキュリティリスクを避けるため、この定数を指定しないことが非常に重要です。

構文(syntax)


1<?php
2$dom = new DOMDocument();
3$dom->load('example.xml', LIBXML_NOENT);

引数(parameters)

引数なし

引数はありません

戻り値(return)

int

LIBXML_NOENT は、XML エンティティの展開を無効にするための定数です。この定数は整数型で、その値は 1 です。

サンプルコード

PHP loadXMLでLIBXML_NOENTを使用する


1<?php
2
3/**
4 * LIBXML_NOENT オプションを使用してXML内の外部エンティティを展開するサンプル。
5 *
6 * LIBXML_NOENT は、XMLドキュメントをロードする際に、
7 * 外部エンティティ参照（例: &myentity;）をそのエンティティの内容で置き換えるオプションです。
8 * これにより、XMLパーサーは外部リソースの内容をドキュメントに組み込むことができます。
9 *
10 * 注意: 信頼できないXMLソースに対してLIBXML_NOENTを使用すると、
11 * XXE（XML External Entity）攻撃などのセキュリティリスクにつながる可能性があります。
12 * 常に信頼できるソースからのXMLに対してのみ使用し、必要に応じて検証を行ってください。
13 */
14function expandXmlEntitiesWithLibxmlNoent(): void
15{
16    // 外部エンティティを含むXML文字列を定義します。
17    // <!ENTITY myentity "Hello from an internal entity!"> は内部エンティティの定義です。
18    // <message>&myentity;</message> がこのエンティティを参照しています。
19    $xmlString = <<<XML
20<?xml version="1.0" encoding="UTF-8"?>
21<!DOCTYPE root [
22  <!ENTITY myentity "Hello from an internal entity!">
23]>
24<root>
25  <message>&myentity;</message>
26  <data>Some other data.</data>
27</root>
28XML;
29
30    echo "--- 元のXML文字列 ---\n";
31    echo $xmlString . "\n\n";
32
33    // DOMDocument オブジェクトを作成します。
34    $dom = new DOMDocument();
35
36    // LIBXML_NOENT オプションを指定してXMLをロードします。
37    // このオプションにより、XML内の &myentity; がその定義内容で展開されます。
38    // エラーが発生した場合、loadXMLは false を返します。
39    $loadResult = $dom->loadXML($xmlString, LIBXML_NOENT);
40
41    if ($loadResult === false) {
42        echo "エラー: XMLのロードに失敗しました。\n";
43        return;
44    }
45
46    echo "--- LIBXML_NOENT 適用後のXML文字列（エンティティ展開済み）---\n";
47    // saveXML() メソッドでDOMツリーの内容をXML文字列として出力します。
48    echo $dom->saveXML() . "\n\n";
49
50    // 展開されたエンティティの内容を含む要素のテキストコンテンツを取得します。
51    $messageNode = $dom->getElementsByTagName('message')->item(0);
52    if ($messageNode) {
53        echo "message要素の内容: " . $messageNode->textContent . "\n";
54    } else {
55        echo "message要素が見つかりませんでした。\n";
56    }
57}
58
59// 定義した関数を実行して、サンプルコードの動作を確認します。
60expandXmlEntitiesWithLibxmlNoent();

PHP 8のLIBXML_NOENTは、XMLドキュメントを読み込む際に、XMLドキュメント内で定義されたエンティティ参照（例: &myentity;）をその内容で展開するための定数です。これはint型の数値であり、DOMDocument::loadXMLのような関数にオプションとして渡すことで、その機能を有効にします。

サンプルコードでは、DOMDocumentオブジェクトのloadXMLメソッドにこのLIBXML_NOENTを渡しています。これにより、XML内で定義されたmyentityが参照されている<message>&myentity;</message>の部分が、Hello from an internal entity!という実際の値に置き換えられてXMLが解析されます。結果として、saveXML()で出力されるXMLや、message要素から取得されるtextContentには、展開されたエンティティの内容が含まれることが確認できます。

この定数自体に引数はありませんが、loadXMLメソッドの戻り値は成功時にtrue、失敗時にfalseとなります。

ただし、信頼できないXMLソースに対してLIBXML_NOENTを使用すると、XXE（XML External Entity）攻撃などのセキュリティリスクにつながる可能性があるため、常に信頼できるソースからのXMLに対してのみ使用し、注意してください。

LIBXML_NOENTはXMLドキュメント内の外部エンティティ参照を自動で内容に展開する便利なオプションです。しかし、このオプションを信頼できないXMLソースに対して使用すると、XXE（XML External Entity）攻撃という重大なセキュリティリスクに晒される可能性がありますので、利用には細心の注意が必要です。安全に利用するためには、必ず信頼できるXMLソースにのみ適用し、必要に応じてXMLの内容を厳密に検証することを強く推奨します。また、DOMDocument::loadXMLメソッドは、XMLのロードに失敗した場合にfalseを返しますので、処理を続行する前に必ず戻り値をチェックし、エラーハンドリングを行うようにしてください。