【PHP8.x】__constructメソッドの使い方

Copy
1<?php
2
3// PHP 8.2 以降で導入された #[SensitiveParameter] 属性は、
4// メソッドや関数の引数に付与することで、その引数がバックトレース（エラー発生時の履歴）に
5// 誤って表示されるのを防ぎ、代わりに '[**HIDDEN**]' のようなマスクされた値に置き換えます。
6// これは、パスワードやAPIキーなどの機密情報がログやエラー報告に漏れるのを防ぐために非常に重要です。
7
8class UserAuthenticator
9{
10    private string $username;
11    private string $hashedPassword;
12
13    /**
14     * コンストラクタはクラスの新しいインスタンスが作成されるときに自動的に呼び出される特別なメソッドです。
15     * ここでは、ユーザー名と生のパスワードを受け取り、パスワードをハッシュ化して保存します。
16     *
17     * #[SensitiveParameter] 属性を $rawPassword 引数に付与することで、
18     * もしこのコンストラクタの実行中にエラーが発生しバックトレースが生成された場合でも、
19     * $rawPassword の値は自動的にマスクされ、機密情報が漏洩するのを防ぎます。
20     *
21     * @param string $username ユーザー名
22     * @param string #[SensitiveParameter] $rawPassword ユーザーが入力した生のパスワード（機密情報）
23     */
24    public function __construct(string $username, #[SensitiveParameter] string $rawPassword)
25    {
26        $this->username = $username;
27        // セキュリティのために、生のパスワードは保存せずにハッシュ化します。
28        $this->hashedPassword = password_hash($rawPassword, PASSWORD_DEFAULT);
29
30        echo "ユーザー '{$this->username}' の認証クラスが初期化されました。\n";
31        echo "パスワードは安全にハッシュ化されています。\n";
32    }
33
34    /**
35     * 入力されたパスワードが保存されたハッシュと一致するか検証します。
36     *
37     * @param string $password 検証するパスワード
38     * @return bool パスワードが正しい場合は true、そうでない場合は false
39     */
40    public function verifyPassword(string $password): bool
41    {
42        return password_verify($password, $this->hashedPassword);
43    }
44
45    /**
46     * ユーザー名を取得します。
47     *
48     * @return string ユーザー名
49     */
50    public function getUsername(): string
51    {
52        return $this->username;
53    }
54}
55
56// --- サンプルコードの実行例 ---
57
58// 新しいユーザー認証クラスのインスタンスを作成
59// コンストラクタが自動的に呼び出され、パスワードがハッシュ化されて保存されます。
60$authenticator = new UserAuthenticator("alice", "MySuperSecretP@ssw0rd!");
61
62// パスワードの検証
63$inputPassword = "MySuperSecretP@ssw0rd!";
64if ($authenticator->verifyPassword($inputPassword)) {
65    echo "ユーザー '{$authenticator->getUsername()}' のパスワードは正しいです。\n";
66} else {
67    echo "ユーザー '{$authenticator->getUsername()}' のパスワードは間違っています。\n";
68}
69
70// このコードで直接エラーを発生させてバックトレースを出すと、
71// #[SensitiveParameter] の効果を確認できます。
72// 例えば、もしコンストラクタの実行中に何らかの予期せぬエラーが発生した場合、
73// エラーのバックトレースに $rawPassword の値が直接表示されるのではなく、
74// '[**HIDDEN**]' のようにマスクされて表示されることで、機密情報が保護されます。
75?>

PHPの__constructメソッドは、クラスから新しいオブジェクト（インスタンス）が作成されるときに自動的に呼び出される特別なメソッドです。これはオブジェクトの初期設定を行うためのもので、例えば、必要なプロパティに初期値を設定したり、特定の初期化処理を実行したりするために使用されます。__constructメソッド自体は、PHPのリファレンス上では通常、引数や戻り値を持たないことが多いですが、開発者が作成するクラスのコンストラクタには、初期化に必要な引数を定義できます。

提供されたサンプルコードでは、UserAuthenticatorというクラスの__constructメソッドで、ユーザー名と生のパスワードを受け取っています。ここで注目すべきは、パスワードを受け取る引数$rawPasswordにPHP 8.2以降で導入された#[SensitiveParameter]属性が付与されている点です。この属性は、その引数がパスワードやAPIキーのような機密情報であることを示し、セキュリティを高めます。具体的には、もしこのメソッドの実行中にエラーが発生し、PHPがバックトレース（エラー発生時の処理履歴）を生成した場合でも、$rawPasswordの値が直接表示されることなく、[**HIDDEN**]のようなマスクされた値に置き換えられます。これにより、機密情報がログやエラー報告に意図せず漏洩するのを防ぎ、システムをより安全に保つことができます。このコンストラクタは、受け取ったパスワードを安全のためにハッシュ化し、クラス内部に保存する初期化処理を行っています。

Copy
1<?php
2
3// PHP 8で導入されたSensitiveParameter属性を使用するには、名前空間をインポートする必要があります。
4use SensitiveParameter;
5
6/**
7 * ユーザー情報を表すクラスです。
8 * PHP 8のコンストラクタプロパティプロモーションを使用して、
9 * プロパティの宣言とコンストラクタでの初期化を簡潔に行っています。
10 */
11class UserAccount
12{
13    /**
14     * コンストラクタプロパティプロモーションを使用してプロパティを宣言し、初期化します。
15     *
16     * #[SensitiveParameter]属性は、この引数（およびそれに対応するプロパティ）が機密情報であることを示します。
17     * デバッグ出力（例: var_dump, exception stack traces）の際に、この値が隠蔽されます。
18     * SensitiveParameter属性自体は引数を取らず、PHP 8で導入された属性構文の一部です。
19     *
20     * @param int    $id       ユーザーの一意なID
21     * @param string $username ユーザー名
22     * @param string $password ユーザーのパスワード（機密情報）
23     * @param string $email    ユーザーのメールアドレス
24     */
25    public function __construct(
26        public int $id,
27        public string $username,
28        #[SensitiveParameter] public string $password, // #[SensitiveParameter]属性の適用例
29        public string $email
30    ) {
31        // コンストラクタプロパティプロモーションにより、
32        // これらのプロパティ（$id, $username, $password, $email）は自動的に宣言され、
33        // コンストラクタの引数の値で初期化されます。
34        // そのため、このブロック内で明示的な代入は不要です。
35    }
36
37    /**
38     * ユーザーの公開情報を返します。
39     * パスワードのような機密情報は通常、このメソッドでは返しません。
40     */
41    public function getPublicUserInfo(): array
42    {
43        return [
44            'id'       => $this->id,
45            'username' => $this->username,
46            'email'    => $this->email,
47        ];
48    }
49}
50
51// UserAccountクラスのインスタンスを作成します。
52$user = new UserAccount(
53    id: 101,
54    username: 'john.doe',
55    password: 'super_secret_password_123!',
56    email: 'john.doe@example.com'
57);
58
59// var_dumpでオブジェクトの内容を確認します。
60// #[SensitiveParameter]が適用された$passwordプロパティの値は、
61// デバッグ出力時に自動的に'[Filtered]'と表示され、機密情報が隠蔽されます。
62echo "--- オブジェクトのデバッグ出力 ---" . PHP_EOL;
63var_dump($user);
64
65// 通常のプロパティアクセスは可能です。
66echo PHP_EOL . "--- 通常のプロパティアクセス ---" . PHP_EOL;
67echo "ユーザー名: " . $user->username . PHP_EOL;
68// 注意: #[SensitiveParameter]はデバッグ出力時に値を隠蔽するものであり、
69// 直接的なプロパティアクセスやロジックからの利用を妨げるものではありません。
70// echo "パスワード (直接アクセス): " . $user->password . PHP_EOL; // 必要に応じてコメント解除
71
72echo PHP_EOL . "--- 公開情報の取得 ---" . PHP_EOL;
73print_r($user->getPublicUserInfo());
74
75?>

このサンプルコードは、PHP 8で導入された二つの重要な機能を組み合わせて説明しています。一つ目は#[SensitiveParameter]属性です。これは、特定の引数やプロパティがパスワードのような機密情報であることをPHPに伝えるためのものです。この属性が適用された値は、デバッグ出力（例えばvar_dumpや例外のスタックトレース）の際に自動的に[Filtered]と表示され、情報漏洩を防ぎます。SensitiveParameterクラスの__constructメソッドは、属性として利用されるため引数も戻り値も持ちませんが、これは内部で特別な処理を行うためのものです。

二つ目は「コンストラクタプロパティプロモーション」という機能で、これもPHP 8で導入されました。これは、クラスのプロパティの宣言と、コンストラクタでのそのプロパティの初期化を一行で同時に行えるようにするもので、コードを簡潔にします。

サンプルコードのUserAccountクラスでは、__constructメソッドの引数でpublic int $idのようにプロパティの型と公開範囲を宣言し、同時に初期化しています。特に$password引数には#[SensitiveParameter]属性が付与されており、このプロパティが機密情報であることを示し、デバッグ時にその値が隠蔽されるように設定されています。これにより、PHP 8の新しい構文を活用し、安全かつ効率的にオブジェクトを設計できることを示しています。