【PHP8.x】substitutedNodeValueプロパティの使い方

substitutedNodeValueプロパティは、DOM Elementノードが置換されたノードの値を取得または設定するためのプロパティです。このプロパティは、特にXML外部エンティティ（XXE）攻撃を緩和するために導入されました。

XXE攻撃は、外部エンティティの定義を通じて、サーバー上の機密情報にアクセスしたり、サービス拒否攻撃を引き起こしたりする可能性があります。substitutedNodeValueプロパティを使用することで、外部エンティティが展開される前の元のノードの値を取得できます。

具体的には、XMLドキュメントに外部エンティティ参照が含まれている場合、DOMDocument::resolveExternalsプロパティがTRUEに設定されていると、パーサーは外部エンティティを展開します。nodeValueプロパティは、展開された後の値を返しますが、substitutedNodeValueプロパティは、展開される前のエンティティ参照の文字列（例：&entityName;）を返します。

システムエンジニアがこのプロパティを理解し、適切に使用することで、XXE攻撃に対する脆弱性を低減し、より安全なXML処理を実装することができます。XMLデータを扱う際には、substitutedNodeValueプロパティの存在を意識し、必要に応じて活用することを推奨します。これにより、予期せぬ情報漏洩やシステムへの不正アクセスを防ぐことが可能になります。特に、外部からのXMLデータを扱うシステムにおいては、このプロパティの理解と適切な利用が重要となります。

Copy
1readonly public ?string $substitutedNodeValue

引数なし

引数はありません

string|null

このプロパティは、要素が置換ノードである場合にそのノードの値を文字列として返します。要素が置換ノードでない場合はnullを返します。