【PHP8.x】INPUT_POST定数の使い方

Copy
1<?php
2
3/**
4 * INPUT_POST定数を使用してPOSTデータを安全に取得・処理するサンプル関数。
5 * このスクリプトは、HTMLフォームを表示し、自分自身にPOSTされたデータを処理します。
6 *
7 * システムエンジニアを目指す初心者向けに、POSTデータの取得とフィルタリングの
8 * 基本的な流れを理解できるように設計されています。
9 */
10function handlePostDataExample(): void
11{
12    // HTTPリクエストがPOSTメソッドであるかを確認
13    if ($_SERVER['REQUEST_METHOD'] === 'POST') {
14        echo '<h2>POSTデータを受信しました:</h2>';
15
16        // INPUT_POST定数を使って、POSTリクエストから'username'フィールドを取得します。
17        // FILTER_SANITIZE_FULL_SPECIAL_CHARSフィルターは、HTML特殊文字をHTMLエンティティに変換し、
18        // クロスサイトスクリプティング（XSS）攻撃を防ぐのに役立ちます。
19        $username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_FULL_SPECIAL_CHARS);
20
21        // INPUT_POST定数を使って、POSTリクエストから'age'フィールドを取得します。
22        // FILTER_VALIDATE_INTフィルターは、入力値が有効な整数であるかを検証します。
23        $age = filter_input(INPUT_POST, 'age', FILTER_VALIDATE_INT);
24
25        // 取得したデータの表示
26        if ($username !== null && $username !== false) {
27            echo '<p><strong>ユーザー名:</strong> ' . htmlspecialchars($username, ENT_QUOTES, 'UTF-8') . '</p>';
28        } else {
29            echo '<p>ユーザー名が提供されていないか、無効です。</p>';
30        }
31
32        if ($age !== null && $age !== false) {
33            echo '<p><strong>年齢:</strong> ' . htmlspecialchars((string) $age, ENT_QUOTES, 'UTF-8') . '</p>';
34        } else {
35            echo '<p>年齢が提供されていないか、無効です。</p>';
36        }
37
38    } else {
39        echo '<h2>フォームを送信してください:</h2>';
40    }
41
42    // 現在のスクリプトにPOST送信するシンプルなHTMLフォーム
43    ?>
44    <form action="" method="post">
45        <label for="username">ユーザー名:</label><br>
46        <input type="text" id="username" name="username" value=""><br><br>
47        <label for="age">年齢:</label><br>
48        <input type="number" id="age" name="age" value=""><br><br>
49        <input type="submit" value="送信">
50    </form>
51    <?php
52}
53
54// 関数を実行して、POSTデータの処理とフォーム表示を開始
55handlePostDataExample();
56
57?>

PHPのINPUT_POSTは、Webアプリケーションでユーザーが送信したPOSTデータを安全に取得するために使用される重要な定数です。バージョン8のPHPにおいて、この定数は特にfilter_input()関数と組み合わせて利用されることで、セキュリティとデータの整合性を高める役割を果たします。INPUT_POST自体には引数がなく、内部的な識別子として整数型（int）の値を持ちます。

提供されたサンプルコードは、シンプルなHTMLフォームを表示し、ユーザーが入力したユーザー名と年齢のデータをPOSTメソッドで現在のスクリプトに送信する処理を示しています。まず、$_SERVER['REQUEST_METHOD'] === 'POST'でHTTPリクエストがPOSTであるかを確認し、POSTデータが送信された場合に処理を行います。

データ取得の際には、filter_input(INPUT_POST, 'フィールド名', フィルター)という形式でINPUT_POST定数を利用します。例えば、ユーザー名を取得する際にはFILTER_SANITIZE_FULL_SPECIAL_CHARSフィルターを適用し、HTML特殊文字をエスケープすることでクロスサイトスクリプティング（XSS）攻撃を防ぎます。年齢を取得する際にはFILTER_VALIDATE_INTフィルターを使用し、入力値が有効な整数であるかを検証します。これにより、不正なデータや悪意のあるコードの実行を防ぐことが可能です。取得したデータはnullやfalseでないかを確認し、さらに表示時にはhtmlspecialchars関数を使って安全に画面に表示しています。このように、INPUT_POST定数とfilter_input()関数を組み合わせることで、堅牢なWebアプリケーション開発の基礎を学ぶことができます。

Copy
1<?php
2
3// このスクリプトは、GETリクエスト（初期表示）でフォームを表示し、
4// POSTリクエスト（フォーム送信後）で $_POST と filter_input(INPUT_POST) の違いを示します。
5
6// HTTPリクエストがPOSTメソッドであるかチェック
7if ($_SERVER['REQUEST_METHOD'] === 'POST') {
8    echo '<!DOCTYPE html>
9<html lang="ja">
10<head>
11    <meta charset="UTF-8">
12    <meta name="viewport" content="width=device-width, initial-scale=1.0">
13    <title>$_POST と filter_input(INPUT_POST) の比較結果</title>
14    <style>
15        body { font-family: sans-serif; margin: 20px; line-height: 1.6; }
16        pre { background-color: #f4f4f4; padding: 10px; border: 1px solid #ddd; overflow-x: auto; }
17        h1, h2 { color: #333; }
18        .note-red { color: red; font-weight: bold; }
19        .note-green { color: green; font-weight: bold; }
20    </style>
21</head>
22<body>
23    <h1>入力データの比較</h1>
24    <p>フォームから送信されたデータがどのように処理されるかを見てみましょう。</p>';
25
26    // 1. $_POST スーパーグローバル変数で直接データを取得する例
27    // $_POST はフォームから送信された未加工の生データを含みます。
28    // このデータは、サニタイズ（無害化）やバリデーション（検証）が一切行われていません。
29    $username_raw = $_POST['username'] ?? '未入力';
30    $age_raw = $_POST['age'] ?? '未入力';
31
32    echo '<h2>1. $_POST で直接取得したデータ (生データ):</h2>';
33    echo '<p>ユーザー名: <pre>' . htmlspecialchars($username_raw, ENT_QUOTES, 'UTF-8') . '</pre></p>';
34    echo '<p>年齢: <pre>' . htmlspecialchars($age_raw, ENT_QUOTES, 'UTF-8') . '</pre></p>';
35    echo '<p class="note-red"><strong>注意: このデータは何も処理されていません。HTMLタグやスクリプトが含まれると、ウェブサイトの見た目を壊したり、セキュリティ上の問題（クロスサイトスクリプティング: XSSなど）を引き起こす可能性があります。</strong></p>';
36
37    echo '<hr>';
38
39    // 2. filter_input() 関数と INPUT_POST 定数を使用してデータを取得する例
40    // INPUT_POST は filter_input() 関数の最初の引数として使用され、
41    // POSTリクエストのデータを処理することを指定します。
42    // filter_input() は、同時にデータのサニタイズ（無害化）やバリデーション（検証）を行うことができます。
43
44    // ユーザー名: HTML特殊文字をエスケープして、スクリプト実行などを防ぎ安全にします。
45    $username_filtered = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_SPECIAL_CHARS);
46    // 年齢: 整数として有効な値のみを許可し、無効な場合は false を返します。
47    $age_filtered = filter_input(INPUT_POST, 'age', FILTER_VALIDATE_INT);
48
49    echo '<h2>2. filter_input(INPUT_POST, ...) で取得したデータ (処理済み):</h2>';
50    // filter_input は成功すると変換後の値、失敗すると false、存在しない場合は null を返すため、両方をチェックします。
51    echo '<p>ユーザー名 (サニタイズ済み): <pre>' . ($username_filtered !== null ? htmlspecialchars($username_filtered, ENT_QUOTES, 'UTF-8') : '未入力または無効') . '</pre></p>';
52    echo '<p>年齢 (バリデーション済み): <pre>' . ($age_filtered !== false && $age_filtered !== null ? htmlspecialchars((string)$age_filtered, ENT_QUOTES, 'UTF-8') : '未入力または無効な数値') . '</pre></p>';
53    echo '<p class="note-green"><strong>利点: filter_input() は、データの種類に応じてセキュリティ対策（サニタイズ）や形式の確認（バリデーション）を自動で行うため、より安全で推奨される方法です。</strong></p>';
54    echo '<p>例: ユーザー名に入力したHTMLタグはエスケープされて表示され、年齢に数値以外を入力した場合、無効と判断されます。</p>';
55
56    echo '<br><p><a href="/">フォームに戻る</a></p>';
57    echo '</body>
58</html>';
59
60} else {
61    // GETリクエストの場合、フォームを表示
62    echo '<!DOCTYPE html>
63<html lang="ja">
64<head>
65    <meta charset="UTF-8">
66    <meta name="viewport" content="width=device-width, initial-scale=1.0">
67    <title>$_POST と filter_input(INPUT_POST) の違いを体験</title>
68    <style>
69        body { font-family: sans-serif; margin: 20px; line-height: 1.6; }
70        input[type="text"] { width: 300px; padding: 8px; margin-bottom: 10px; border: 1px solid #ccc; border-radius: 4px; }
71        input[type="submit"] { padding: 10px 20px; background-color: #007bff; color: white; border: none; border-radius: 4px; cursor: pointer; }
72        input[type="submit"]:hover { background-color: #0056b3; }
73        small { color: #666; font-size: 0.9em; }
74    </style>
75</head>
76<body>
77    <h1>$_POST と filter_input(INPUT_POST) の違いを体験</h1>
78    <p>以下のフォームにデータを入力し、送信ボタンを押して、2つのデータの取得方法の違いを確認してください。</p>
79    <form method="post" action="">
80        <label for="username">ユーザー名:</label><br>
81        <input type="text" id="username" name="username" value="&lt;script&gt;alert(\'XSS\')&lt;/script&gt;<b>テスト</b>ユーザー"><br>
82        <small>例: HTMLタグやスクリプトを含んだ文字列を試してみてください。</small><br><br>
83
84        <label for="age">年齢:</label><br>
85        <input type="text" id="age" name="age" value="25abc"><br>
86        <small>例: 数値以外の文字（"25abc"）や、有効な数値（"30"）を試してみてください。</small><br><br>
87
88        <input type="submit" value="送信して結果を見る">
89    </form>
90</body>
91</html>';
92}

PHP 8におけるINPUT_POSTは、HTTP POSTリクエストから送信されたデータを安全に取得・処理するために、filter_input()関数と組み合わせて使用される定数です。この定数は整数値を持ち、filter_input()関数の最初の引数として指定することで、POSTデータを対象とすることを明確にします。

一般的にPOSTデータは$_POSTスーパーグローバル変数で直接取得できますが、この方法はユーザーが入力した未加工の「生データ」であり、HTMLタグやスクリプトなどの悪意のある内容が含まれていると、セキュリティ上の問題（クロスサイトスクリプティングなど）を引き起こす可能性があります。

filter_input()関数にINPUT_POSTを指定してデータを取得することで、同時にサニタイズ（無害化）やバリデーション（検証）を適用できます。例えば、サンプルコードではユーザー名にHTMLタグが含まれていてもFILTER_SANITIZE_SPECIAL_CHARSによって安全な形に変換され、年齢に数値以外の文字列が入力された場合はFILTER_VALIDATE_INTによって無効な入力として判断されます。これにより、アプリケーションは不正なデータから保護され、より堅牢になります。

filter_input()関数は、処理が成功した場合は変換された値、失敗した場合はfalse、対象のデータが存在しない場合はnullを返します。これらの戻り値を適切にハンドリングすることで、より安全で信頼性の高いデータ処理が実現できます。