【PHP8.x】move_uploaded_file関数の使い方

Copy
1<?php
2
3/**
4 * アップロードされたファイルを指定されたディレクトリへ安全に移動するサンプル関数。
5 *
6 * この関数は、ファイルのアップロード処理の一部をシミュレートします。
7 * 実際には、Webサーバー経由でアップロードされたファイルの一時パスを使用します。
8 *
9 * @param array $fileInfo 通常は `$_FILES['input_name']` の形式で提供されるファイル情報。
10 *                        ['tmp_name' => 一時ファイルパス, 'name' => 元のファイル名] を含むことを想定。
11 * @param string $destinationDirectory ファイルを移動する最終的なディレクトリのパス。
12 * @return string 処理結果のメッセージ。
13 */
14function handleFileUploadAndMove(array $fileInfo, string $destinationDirectory): string
15{
16    // アップロードされたファイルの一時的なパス。
17    // 実際には `$_FILES['input_name']['tmp_name']` から取得されます。
18    $temporaryFilePath = $fileInfo['tmp_name'];
19
20    // 元のファイル名。basename() を使用して、パス情報を除去し、
21    // ディレクトリトラバーサル攻撃（例: ../../../evil.php）を防ぎます。
22    // 実際には `$_FILES['input_name']['name']` から取得されます。
23    $originalFileName = basename($fileInfo['name']);
24
25    // 移動先の完全なファイルパスを構築します。
26    $destinationFilePath = rtrim($destinationDirectory, '/') . '/' . $originalFileName;
27
28    // 移動先ディレクトリが存在しない場合は作成を試みます。
29    if (!is_dir($destinationDirectory)) {
30        // 0755 は一般的なディレクトリ権限です。true は再帰的にディレクトリを作成します。
31        if (!mkdir($destinationDirectory, 0755, true)) {
32            return "エラー: 移動先ディレクトリ '$destinationDirectory' の作成に失敗しました。パーミッションを確認してください。";
33        }
34    }
35
36    // move_uploaded_file() を使用してファイルを一時パスから最終的な保存場所へ移動します。
37    //
38    // キーワード「上書き」について:
39    // もし指定された $destinationFilePath に同名のファイルが既に存在する場合、
40    // move_uploaded_file() は既存のファイルを新しいファイルで上書きします。
41    //
42    // セキュリティ上の注意点:
43    // move_uploaded_file() は、渡されたファイルがHTTP POSTアップロードによって
44    // アップロードされた正規の一時ファイルであるかを内部で厳格にチェックします（`is_uploaded_file()`と同様）。
45    // このチェックにより、悪意のあるユーザーがシステム上の任意のファイルを移動することを防ぎます。
46    //
47    // このサンプルコードはPHPスクリプト単体で実行されるため、HTTP POSTアップロード環境ではありません。
48    // したがって、`$temporaryFilePath` に指定されたパスは有効なアップロード済み一時ファイルではないため、
49    // move_uploaded_file() は通常、ここで失敗します。
50    // 実際のWebアプリケーションでは、`$_FILES`経由で提供される有効な一時ファイルパスでこの関数は成功します。
51    if (move_uploaded_file($temporaryFilePath, $destinationFilePath)) {
52        return "ファイル '$originalFileName' が '$destinationFilePath' に正常に移動されました。";
53    } else {
54        return "エラー: ファイル '$originalFileName' の移動に失敗しました。詳細: この環境では一時ファイルがHTTPアップロードによって提供されていない可能性があります。";
55    }
56}
57
58// --- 使用例 ---
59// 実際のWebアプリケーションでは、HTMLフォームからファイルをアップロードした際に、
60// PHPが自動で生成する一時ファイルパスとファイル名が `$_FILES['フォームのname属性']` に格納されます。
61// この例では、`move_uploaded_file` 関数の引数構造を示すためにダミーのファイル情報を使用しています。
62$dummyUploadedFileInfo = [
63    'tmp_name' => '/tmp/php_dummy_temp_file_'.uniqid(), // 実際にはPHPが自動生成する一時ファイルパス
64    'name' => 'report_2023.pdf', // 元のファイル名
65    'type' => 'application/pdf',
66    'size' => 512000,
67    'error' => UPLOAD_ERR_OK, // アップロードエラーがないことを示す（実際のエラーは UPLOAD_ERR_XXX 定数）
68];
69
70// ファイルを保存する最終的なディレクトリのパス。
71// __DIR__ は現在のスクリプトが置かれているディレクトリを指します。
72$uploadDirectory = __DIR__ . '/uploaded_files';
73
74// アップロード処理を実行し、結果を表示
75echo handleFileUploadAndMove($dummyUploadedFileInfo, $uploadDirectory);
76
77?>

PHPのmove_uploaded_file関数は、WebサーバーにHTTP POSTリクエストでアップロードされたファイルを、一時的な場所から指定した最終保存先へ安全に移動するために使用されます。

この関数は二つの文字列型引数を取ります。一つ目の$from引数にはアップロードされたファイルの一時的なパスを、二つ目の$to引数にはファイルを移動させたい最終的な保存先のパスを指定します。処理が成功するとtrueを、失敗するとfalseを返します。

move_uploaded_file関数は、ファイルが本当にHTTP POSTアップロードによってアップロードされたものであるかを厳しくチェックします。これにより、悪意のあるユーザーがシステム上の他のファイルを移動させるのを防ぐ、重要なセキュリティ機能が組み込まれています。また、もし移動先のパスに同名のファイルが既に存在する場合、その既存のファイルは新しいファイルで上書きされます。

提示されたサンプルコードでは、$_FILESスーパーグローバル変数で通常提供されるファイル情報（一時パスや元のファイル名）を模倣し、アップロードされたファイルを安全に移動する一連の流れを示しています。特にbasename()関数を使って元のファイル名からパス情報を除去し、セキュリティを考慮しています。また、移動先ディレクトリが存在しない場合には自動的に作成する処理も含まれています。ただし、このサンプルコードはHTTPアップロード環境ではないため、move_uploaded_file関数は通常、指定された一時ファイルパスが有効なアップロード済み一時ファイルではないと判断し、失敗する点にご注意ください。実際のWebアプリケーションでは、HTMLフォームからのファイルアップロード時にPHPが生成する一時ファイルパスを$fromに指定することで、この関数が正常に機能します。

Copy
1<?php
2
3/**
4 * ファイルアップロードを処理し、move_uploaded_file の失敗ケースをハンドリングする関数
5 *
6 * このスクリプトは単体で動作します。
7 * 1. HTMLフォームでファイルを選択し「アップロード」ボタンを押してください。
8 * 2. サーバーサイドでファイルを受け取り、指定ディレクトリに保存します。
9 * 3. move_uploaded_file が成功したか失敗したかに応じてメッセージを表示します。
10 */
11function handleFileUpload(): void
12{
13    // アップロードされたファイルを保存するディレクトリ
14    $uploadDirectory = 'uploads/';
15    $message = '';
16
17    // 保存先ディレクトリが存在しない場合は作成を試みる
18    if (!is_dir($uploadDirectory)) {
19        // mkdirの第三引数を true にすることで、再帰的にディレクトリを作成
20        if (!mkdir($uploadDirectory, 0755, true)) {
21            // ディレクトリ作成に失敗した場合、処理を中断
22            $message = 'エラー: アップロードディレクトリの作成に失敗しました。';
23        }
24    }
25
26    // フォームがPOSTメソッドで送信された場合のみ処理を実行
27    if ($_SERVER['REQUEST_METHOD'] === 'POST') {
28        // ファイルが選択され、アップロードエラーがないことを確認
29        if (isset($_FILES['user_file']) && $_FILES['user_file']['error'] === UPLOAD_ERR_OK) {
30            $tmpFilePath = $_FILES['user_file']['tmp_name'];
31
32            // 安全のため、ファイル名からディレクトリ情報を除去
33            $fileName = basename($_FILES['user_file']['name']);
34            $destinationPath = $uploadDirectory . $fileName;
35
36            // move_uploaded_file() でファイルを一時ディレクトリから指定の場所へ移動
37            // この関数は、成功時に true、失敗時に false を返す
38            if (move_uploaded_file($tmpFilePath, $destinationPath)) {
39                $message = "ファイル '{$fileName}' のアップロードに成功しました。";
40            } else {
41                // ここが move_uploaded_file() が失敗した場合の処理
42                $message = "エラー: ファイルの移動に失敗しました。";
43                $message .= "考えられる原因として、サーバー上の '{$uploadDirectory}' ディレクトリに対する書き込み権限がない可能性があります。";
44            }
45        } else {
46            // ファイルが選択されていない、またはアップロード中にエラーが発生した場合
47            $message = 'エラー: ファイルが選択されていないか、アップロード中にエラーが発生しました。';
48            if (isset($_FILES['user_file']['error'])) {
49                 $message .= ' (エラーコード: ' . $_FILES['user_file']['error'] . ')';
50            }
51        }
52    }
53    // HTML部分と処理結果のメッセージを表示
54    displayForm($message);
55}
56
57/**
58 * HTMLフォームとメッセージを表示する関数
59 * @param string $message 表示するメッセージ
60 */
61function displayForm(string $message): void
62{
63    echo '<!DOCTYPE html>';
64    echo '<html lang="ja">';
65    echo '<head>';
66    echo '    <meta charset="UTF-8">';
67    echo '    <title>move_uploaded_file 失敗サンプル</title>';
68    echo '</head>';
69    echo '<body>';
70    echo '    <h1>ファイルアップロード</h1>';
71
72    if ($message) {
73        // XSS対策として、メッセージをエスケープして表示
74        echo '    <p><strong>' . htmlspecialchars($message, ENT_QUOTES, 'UTF-8') . '</strong></p>';
75    }
76
77    // ファイルアップロード用のフォーム
78    // enctype="multipart/form-data" はファイル送信に必須
79    echo '    <form action="" method="post" enctype="multipart/form-data">';
80    echo '        <p>';
81    echo '            <label for="file_input">ファイルを選択:</label>';
82    echo '            <input type="file" name="user_file" id="file_input">';
83    echo '        </p>';
84    echo '        <p>';
85    echo '            <input type="submit" value="アップロード">';
86    echo '        </p>';
87    echo '    </form>';
88    echo '</body>';
89    echo '</html>';
90}
91
92// メイン処理の実行
93handleFileUpload();
94

PHPのmove_uploaded_file関数は、ユーザーがウェブフォームを通じてアップロードしたファイルを、一時的な保存場所からサーバー上の指定したディレクトリへ安全に移動させるための重要な関数です。この関数は、アップロードされたファイルが本当にアップロード処理を経てサーバーに到着したものであることを保証し、セキュリティ上のリスクを軽減します。

引数$fromには、アップロードされた一時ファイルが現在置かれているパス（通常は$_FILES['入力フィールド名']['tmp_name']で取得）を指定します。一方、引数$toには、ファイルを最終的に保存したいサーバー上のディレクトリとファイル名を指定します。

関数が正常にファイルの移動を完了した場合、戻り値としてtrueが返されます。しかし、ファイルの移動に失敗した場合はfalseが返されます。サンプルコードでは、このfalseが返されたケースを「失敗」としてハンドリングし、ユーザーにエラーメッセージを表示しています。失敗の一般的な原因としては、指定された保存先ディレクトリが存在しない、またはそのディレクトリに対するウェブサーバーの書き込み権限がないことなどが挙げられます。ファイルをアップロードする際は、保存先ディレクトリの作成と適切な権限設定が不可欠です。