目录
一、什么是XML?
XML = Extensible Makeup Language 可扩展标记语言,类似于HTML,只不过XML中没有预定义标签,需要自行定义标签。这是因为XML的设计宗旨是传输数据,而非显示数据。
这个东西就是存储数据的,后缀为.xml,当然.php也可以解析xml,不过解析器可能会飘红,无视它就好。可以理解为数据库的另一种格式。
二、XML语法
1.xml文档声明:
<?xml version="1.0" encoding ="UTF-8"?>//xml声明,定义XML的版本1.0 和所使用的编码
注意:
声明必须放在第一行
?之后不要有空格,否则会报错
2.XML树结构(DOM)
和HTML的DOM一样
<?xml version="1.0" encoding ="UTF-8"?>//xml声明,定义XML的版本1.0 和所使用的编码
<note>//文档的根元素
//以下四个是文档的子元素
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>What's your problem?</body>
</note>
- XML必须包含根元素,会形成一个文档树。
- 除了声明之外必须要闭合标签.
- XML对大小写敏感。
- XML也可以有属性,属性必须要加引号,例如 <note date = "2019">
- 注释和HTML一样<!---->
- 不允许有空标签存在
在书写内容的时候,遇到<>&等敏感字符需要用 字符实体来代替:
- < <
- > >
- & &
- ' '
- " "
XML书写时必须要正确的嵌套:
HTML可以这样写:<b><i>This </b></i>
XML 只能这样写:<b><i>This</i></b>
XML中有一种语法:CDATA区
在编写XML文件时,有些内容可能不想让解析器 解析执行,所以就用CDATA区圈起来,相当于把圈起来的内容完全当做一个文本输出就可以。
语法:<![CDATA[xxxxxxxxxxxxxxxxxxxxxxxx]]>
<?xml version="1.0" encoding ="ISO-8859-1"?>//xml声明,定义XML的版本1.0 和所使用的编码(ISO-8859-1 = Latin-1/西欧字符集)
<note>//文档的根元素
//以下四个是文档的子元素
<![CDATA[
<to>George</to>
<from>John</from>
]]>
<heading>Reminder</heading>
<body>What's your problem?</body>
</note>
三、PHP操作XML
1.DOMDocument生成XML文件
几乎和js的DOM操作一模一样
首先,需要创建一个XML对象,这个对象相当于js中document对象
$oXML = new DOMDocument(版本号,字符编码)
然后,创建节点
$节点句柄 =$oXML->createElement(节点名,节点值)
如果没有节点值,默认为空,一般创建根节点的时候,节点值不传
最后,将创建好的节点插入到DOM树中对应的节点下
$oXML->appedChild(节点句柄)
最最后,将文件保存
$oXML->save(文件名)
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>WriteXML</title>
</head>
<body>
<?php
$oXML = new DOMDocument("1.0","UTF-8");
//文件中xml元素自动换行
$oXML->formatOutput = true;
// 创建根节点
$oUser = $oXML->createElement("user");
//创建其他节点
$oName = $oXML->createElement("name","liudehua");
$oAge = $oXML->createElement("age","33");
//将子节点追加到根节点
$oUser->appendChild($oName);
$oUser->appendChild($oAge);
//将根节点追加到DOM中
$oXML->appendChild($oUser);
//保存XML文件
$oXML->save("user.xml");
?>
</body>
</html>
2.读取XML数据
<html>
<head>
<meta charset="utf-8">
<title>readXML</title>
</head>
<body>
<?php
$oXML = new DOMDocument();
// 加载文件
$oXML->load("user.xml");
// 获取节点数组
$oName =$oXML->getElementsByTagName("name")[0];
// 输出节点值
echo $oName->nodeValue;
?>
</body>
</html>
但是在微信公众号开发的时候,一般返回的不是XML文件,而是xml字符串。这时就需要用
$oXML->loadXml(xml字符串)来加载了。
2.simpleXML读取xml文件
<html>
<head>
<meta charset="utf-8">
<title>readXML</title>
</head>
<body>
<?php
$user = simplexml_load_file("user.xml");
echo $user->name;
echo $user->age;
?>
</body>
</html>
读取字符串只需要将simplexml_load_file替换成simplexml_load_stirng(xml字符串)即可
三、什么是XPath?
xpath是xml路径语言,是用来选取xml文档中的节点或者节点集。
通俗的说,xpath就是在xml中找东西,可以这么理解,xml就是个类似数据库的东西,xpath就是数据库查询
那么是不是可以尝试去sql注入呢?某些web应用登录验证程序中,程序会通过用户提交的用户名和密码来执行授权操作,若验证数据存放在xml文件中,那么就可以尝试注入。
<?php
$xml = simplexml_load_file('blog.xml');
$name = $_GET['name'];
$pwd = md5($_GET['pwd']);
$query = "root/users/user[username/text()='".$name."'and password/text()='".$pwd."']";
echo $query;
$result = $xml->xpath($query);
if($result){
echo '<h2>Welcome</h2>';
foreach($result as $key=>$value){
echo '<br> Id:'.$value->id;
echo '<br/>Username:'.$value->username;
}
}
?>
<?xml version='1.0' encoding ="utf-8"?>
<root>
<users>
<user>
<id>1</id>
<username>admin</username>
<password type="md5">e10adc3949ba59abbe56e057f20f883e</password>
</user>
<user>
<id>2</id>
<username>jack</username>
<password type="md5">e10adc3949ba59abbe56e057f20f883e</password>
</user>
</users>
</root>
http://localhost:8888/xml.php?name=admin%27%20or%20%271%27=%271&pwd
万能密码?name=admin' or '1'='1&pwd