PHP中XML触发代码执行主要有五种方式：一、XXE注入利用php://filter读取文件；二、XInclude结合php://filter编码本地文件；三、SimpleXML反序列化激活魔术方法；四、loadHTML误解析含JS的XML；五、XMLWriter写入PHP文件后通过文件包含执行。

如果您在处理XML数据时意外触发了PHP代码执行，这通常源于不安全的XML解析器配置或外部实体注入漏洞。以下是实现该行为的具体方法：

一、利用XML外部实体（XXE）注入

当XML解析器启用了外部实体解析且未禁用DOCTYPE声明时，攻击者可通过构造恶意DTD引用PHP伪协议来触发代码执行。

1、准备一个包含恶意外部实体定义的XML文件，内容如下： php://filter/convert.base64-encode/resource=/etc/passwd"> ]>&xxe;

2、在PHP中使用libxml_disable_entity_loader(false)加载该XML，并调用simplexml_load_string()或DOMDocument::loadXML()进行解析。

3、解析过程中，PHP会尝试读取并编码/etc/passwd文件内容，若输出被回显，则表明外部实体已生效。

二、通过XInclude结合php://filter协议

当XML解析器支持XInclude且未限制协议处理器时，可利用XInclude指令强制加载经PHP过滤器处理的本地文件，间接触发解析逻辑。

1、构造XML内容，包含XInclude引用：

2、在PHP中启用XInclude支持：$dom = new DOMDocument(); $dom->loadXML($xml); $dom->xinclude();

3、执行后，index.php源码将以base64形式返回，若环境允许进一步反射或写入，可促成代码执行链。

三、利用SimpleXML扩展的unserialize上下文

当XML内容被反序列化为对象且存在危险的__wakeup或__destruct方法时，若XML结构可控并嵌入序列化字符串，可能激活魔术方法中的PHP代码。

1、构造XML，使其中某字段值为PHP序列化字符串：O:8:"BadClass":1:{s:4:"code";s:12:"system('id');";}

2、使用simplexml_load_string()加载XML后，将目标节点转换为数组或JSON，再调用unserialize()处理其文本内容。

3、若目标类定义了可利用的魔术方法且自动加载机制启用，则system('id')将在反序列化时执行。

四、借助DOMDocument的loadHTML方法误解析XML

当使用DOMDocument::loadHTML()而非loadXML()处理XML输入时，解析器会以HTML模式容错解析，若XML中混入script标签或事件属性，可能在特定上下文中触发执行。

1、构造含内联JavaScript的XML片段：test

2、调用$dom = new DOMDocument(); $dom->loadHTML($xml); $dom->saveHTML();

3、若该HTML被嵌入到可执行JavaScript的Web页面中，且用户交互触发onclick事件，则alert(1)被执行。

五、通过XMLWriter写入恶意PHP标签并配合文件包含

当XML生成过程与文件写入、路径控制结合，且后续逻辑存在include()或require()动态加载时，可将PHP代码写入可访问路径并触发包含。

1、使用XMLWriter创建XML文件，同时向同一目录写入shell.php：

2、确保XMLWriter输出路径与Web根目录重叠，例如写入./uploads/config.xml及./uploads/shell.php。

3、若应用程序存在任意文件包含漏洞，发起请求如/index.php?page=uploads/shell，即可执行传入的cmd参数。