【PHP8.x】CURLOPT_USERPWD定数の使い方

CURLOPT_USERPWD定数の使い方について、初心者にもわかりやすく解説します。

作成日: 2025年09月11日更新日: 2026年02月20日

基本的な使い方

CURLOPT_USERPWD定数は、PHPのcURL拡張機能において、リモートサーバーへ認証情報を送信するために使用される重要なオプションを表す定数です。この定数は、主にHTTPやFTPなどのプロトコルで認証が必要な通信を行う際に利用されます。

具体的には、curl_setopt()関数にこのCURLOPT_USERPWD定数を第一引数として渡し、第二引数には"ユーザー名:パスワード"という形式の文字列をオプション値として指定します。これにより、cURLハンドラは指定されたユーザー名とパスワードを元に、リモートサーバーへの認証を試みます。

例えば、Basic認証やDigest認証が設定されたウェブページにアクセスする場合や、特定のユーザーとしてFTPサーバーにログインしてファイルをアップロード・ダウンロードする場合などに、この定数を用いて適切な認証情報を提供する必要があります。

システムエンジニアを目指す初心者の方にとって、セキュアなネットワーク通信の実装は基本的なスキルのひとつです。CURLOPT_USERPWD定数を使用することで、プログラムから認証情報を扱う方法を学び、実践することができます。ただし、パスワードなどの機密情報をコード内に直接記述することはセキュリティリスクを伴うため、環境変数やセキュアな設定ファイルから読み込むなどの適切な管理方法を常に検討することが重要です。この定数を正しく理解し利用することで、認証を伴う様々なネットワークサービスとの連携を安全かつ効率的に実現できます。

構文(syntax)


1<?php
2$ch = curl_init();
3curl_setopt($ch, CURLOPT_URL, "https://example.com/protected_resource");
4curl_setopt($ch, CURLOPT_USERPWD, "myusername:mypassword");
5curl_exec($ch);
6curl_close($ch);
7?>

引数(parameters)

引数なし

引数はありません

戻り値(return)

戻り値なし

戻り値はありません

サンプルコード

PHP cURLでHTTP Basic認証を行う


1<?php
2
3/**
4 * 指定されたURLに対してHTTP Basic認証を伴うGETリクエストを送信します。
5 *
6 * @param string $url リクエストを送信するURL。
7 * @param string $username 認証に使用するユーザー名。
8 * @param string $password 認証に使用するパスワード。
9 * @return string|null リクエストが成功した場合はレスポンスボディ、失敗した場合はnullを返します。
10 */
11function sendAuthenticatedGetRequest(string $url, string $username, string $password): ?string
12{
13    // cURLセッションを初期化します。
14    $ch = curl_init();
15
16    // cURLの初期化に失敗した場合はエラーを記録し、nullを返します。
17    if ($ch === false) {
18        error_log("cURL initialization failed.");
19        return null;
20    }
21
22    // リクエスト先のURLを設定します。
23    curl_setopt($ch, CURLOPT_URL, $url);
24
25    // CURLOPT_USERPWD を使用して、ユーザー名とパスワードを設定します。
26    // これはHTTP Basic認証やDigest認証で使用されます。
27    // 形式は "ユーザー名:パスワード" です。
28    curl_setopt($ch, CURLOPT_USERPWD, "{$username}:{$password}");
29
30    // サーバーからのレスポンスを直接出力せず、文字列として返すように設定します。
31    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
32
33    // SSL証明書の検証をスキップする場合 (開発・テスト環境向け、本番環境では非推奨)。
34    // curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
35    // curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
36
37    // cURLセッションを実行し、レスポンスを取得します。
38    $response = curl_exec($ch);
39
40    // cURLの実行中にエラーが発生したか確認します。
41    if (curl_errno($ch)) {
42        $error_message = curl_error($ch);
43        error_log("cURL error occurred: " . $error_message);
44        // エラーが発生した場合はnullを返します。
45        $response = null;
46    }
47
48    // cURLセッションを閉じ、関連するリソースを解放します。
49    curl_close($ch);
50
51    return $response;
52}
53
54// -----------------------------------------------------------------------------
55// サンプルコードの実行例
56// -----------------------------------------------------------------------------
57
58// 認証テスト用の公開エンドポイント (httpbin.org/basic-auth/user/passwd は、user/passwd で認証が必要です)
59$targetUrl = "https://httpbin.org/basic-auth/user/passwd";
60$testUsername = "user";
61$testPassword = "passwd";
62
63echo "--- 認証成功が期待されるリクエスト ---\n";
64// 正しい認証情報でリクエストを送信します。
65$successfulResponse = sendAuthenticatedGetRequest($targetUrl, $testUsername, $testPassword);
66
67if ($successfulResponse !== null) {
68    echo "認証成功レスポンス:\n" . $successfulResponse . "\n\n";
69    // 成功すると、通常はJSON形式で {"authenticated": true, "user": "user"} のようなレスポンスが返されます。
70} else {
71    echo "認証成功リクエストに失敗しました。\n\n";
72}
73
74echo "--- 認証失敗が期待されるリクエスト ---\n";
75// 間違った認証情報でリクエストを送信します。
76$failedResponse = sendAuthenticatedGetRequest($targetUrl, "wronguser", "wrongpass");
77
78if ($failedResponse !== null) {
79    echo "認証失敗レスポンス:\n" . $failedResponse . "\n\n";
80    // 失敗すると、通常はHTTPステータスコード401 Unauthorizedと、認証失敗を示すボディが返されます。
81} else {
82    echo "認証失敗リクエストはcURLエラーで終了しました。\n\n";
83}
84
85?>

このPHPサンプルコードは、cURLというライブラリを利用して、外部のWebサービスなどへHTTPリクエストを送信する際に、ユーザー名とパスワードによる認証情報を付与する方法を示しています。

sendAuthenticatedGetRequest関数は、リクエスト先のURL、認証に使うユーザー名、パスワードを引数として受け取り、HTTP Basic認証を伴うGETリクエストを送信します。関数内部では、まずcURLセッションを初期化し、CURLOPT_URLで送信先のURLを設定します。

認証情報を設定するために、curl_setopt($ch, CURLOPT_USERPWD, "{$username}:{$password}");の行でCURLOPT_USERPWD定数を使用しています。この定数を使うことで、ユーザー名とパスワードを「ユーザー名:パスワード」という形式の文字列で指定し、cURLが自動的に認証ヘッダーを生成してリクエストに含めることができます。

さらに、CURLOPT_RETURNTRANSFERをtrueに設定し、サーバーからの応答内容を直接表示せず、関数の戻り値として文字列で受け取れるようにします。リクエストが成功した場合、関数はレスポンスボディを文字列として返しますが、cURLの初期化や実行中にエラーが発生した場合はnullを返します。

サンプルコードの実行例では、正しい認証情報でリクエストが成功する様子と、誤った認証情報で失敗する様子がそれぞれ表示されており、認証の仕組みを具体的に確認できます。これにより、外部の認証が必要なAPIなどに安全にアクセスする基本的な方法を学ぶことができます。

CURLOPT_USERPWDはHTTP Basic認証などで利用する設定項目で、"ユーザー名:パスワード"の形式で文字列として指定します。この形式に誤りがないか注意してください。認証情報であるユーザー名やパスワードは、プログラムコードに直接書き込まず、環境変数や設定ファイルから安全に読み込むようにしてください。コードへの直書きはセキュリティ上の大きなリスクとなります。特に本番環境では、必ずHTTPS通信（SSL/TLS）を利用し、CURLOPT_SSL_VERIFYPEERとCURLOPT_SSL_VERIFYHOSTの設定は変更せず、既定のtrueのまま維持してください。これらを無効にすると、通信内容が盗聴される危険性があります。また、cURLセッションの初期化や実行時にはエラーが発生しないか常に確認し、処理後にはcurl_close()で必ずリソースを解放するようにしてください。