PHP ファイルアップロード
1. PHP ファイルアップロードの概要
PHP を使用すると、サーバーへのファイルアップロードを簡単に実装できます。
しかし、簡単である分リスクも伴います。ファイルをアップロードさせる際は、常に セキュリティ(Security) に細心の注意を払ってください。
2. php.ini ファイルの設定
まず、PHP がファイルアップロードを許可するように設定されているか確認します。
サーバーの php.ini ファイル内で file_uploads ディレクティブ(Directive) を探し、On に設定してください。
file_uploads = On3. HTML フォームの作成
次に、ユーザーがアップロードしたい画像ファイルを選択できる HTML フォーム(Form) を作成します。
HTML ファイル:
<!DOCTYPE html>
<html>
<body>
<form action="upload.php" method="post" enctype="multipart/form-data">
アップロードする画像を選択:
<input type="file" name="fileToUpload" id="fileToUpload">
<input type="submit" value="画像をアップロード" name="submit">
</form>
</body>
</html>上記の HTML フォームには、守らなければならない重要なルールがいくつかあります:
- フォームの
methodは必ず"post"を使用する。 - フォームに
enctype="multipart/form-data"属性を追加する。これは、フォーム送信時にどのコンテンツタイプを使用するかを指定するものです。
これらの要件を満たさない場合、ファイルアップロードは正常に動作しません。
その他の注目点:
<input>タグのtype="file"属性は、入力フィールドをファイル選択コントロールとして表示し、コントロールの横に「参照」や「ファイルを選択」ボタンを表示させます。- 上記のフォームはデータを
upload.phpというファイルに送信します。次にこのスクリプトを作成します。
4. アップロード処理を行う PHP スクリプト
upload.php には、ファイルをアップロードするためのコードを記述します。
upload.php:
<?php
$target_dir = "uploads/";
$target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]);
$uploadOk = 1;
$imageFileType = strtolower(pathinfo($target_file, PATHINFO_EXTENSION));
// 画像ファイルが本物の画像か、あるいは偽装画像かチェックする
if(isset($_POST["submit"])) {
$check = getimagesize($_FILES["fileToUpload"]["tmp_name"]);
if($check !== false) {
echo "ファイルは画像です - " . $check["mime"] . ".";
$uploadOk = 1;
} else {
echo "ファイルは画像ではありません。";
$uploadOk = 0;
}
}
?>4.1 PHP スクリプトの解説
$target_dir = "uploads/"- ファイルを配置する ディレクトリ(Directory) を指定します。$target_file- アップロードされるファイルのフルパスを指定します。$uploadOk = 1- 現在はまだ使用していませんが、後のバリデーションで使用します。$imageFileType- ファイルの 拡張子(Extension) を保持します(小文字に変換済み)。- 次に、画像ファイルが本物の画像かどうかをチェックします。
注意:upload.php が存在するディレクトリに、uploads という名前の新しいディレクトリを手動で作成しておく必要があります。アップロードされたファイルはそこに保存されます。
5. ファイルの重複チェック
ここからは制限事項(バリデーション)を追加していきます。
まず、uploads フォルダ内に同名のファイルが既に存在するか確認します。存在する場合はエラーメッセージを表示し、$uploadOk を 0 に設定します。
// ファイルが既に存在するかチェック
if (file_exists($target_file)) {
echo "エラー:ファイルが既に存在します。";
$uploadOk = 0;
}6. ファイルサイズの制限
HTML フォーム内のファイル入力フィールドの名前は "fileToUpload" です。
ここではファイルのサイズをチェックします。ファイルが 500KB を超える場合はエラーメッセージを表示し、$uploadOk を 0 に設定します。
// ファイルサイズをチェック (500KB以下に制限)
if ($_FILES["fileToUpload"]["size"] > 500000) {
echo "エラー:ファイルサイズが大きすぎます。";
$uploadOk = 0;
}7. ファイル形式の制限
以下のコードでは、JPG、JPEG、PNG、GIF 形式のファイルのみアップロードを許可します。それ以外のファイル形式の場合はエラーメッセージを表示し、$uploadOk を 0 に設定します。
// 特定のファイル形式のみ許可
if($imageFileType != "jpg" && $imageFileType != "png" && $imageFileType != "jpeg"
&& $imageFileType != "gif" ) {
echo "エラー:JPG, JPEG, PNG & GIF 形式のファイルのみ許可されています。";
$uploadOk = 0;
}8. 完全なアップロード用 PHP スクリプト
これまでの要素をすべて組み合わせた upload.php は以下のようになります。
<?php
$target_dir = "uploads/";
$target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]);
$uploadOk = 1;
$imageFileType = strtolower(pathinfo($target_file, PATHINFO_EXTENSION));
// 1. 画像ファイルが実際に画像かチェック
if(isset($_POST["submit"])) {
$check = getimagesize($_FILES["fileToUpload"]["tmp_name"]);
if($check !== false) {
echo "ファイルは画像です - " . $check["mime"] . ".";
$uploadOk = 1;
} else {
echo "ファイルは画像ではありません。";
$uploadOk = 0;
}
}
// 2. ファイルの重複をチェック
if (file_exists($target_file)) {
echo "エラー:ファイルが既に存在します。";
$uploadOk = 0;
}
// 3. ファイルサイズをチェック
if ($_FILES["fileToUpload"]["size"] > 500000) {
echo "エラー:ファイルサイズが大きすぎます。";
$uploadOk = 0;
}
// 4. 特定のファイル形式のみ許可
if($imageFileType != "jpg" && $imageFileType != "png" && $imageFileType != "jpeg"
&& $imageFileType != "gif" ) {
echo "エラー:JPG, JPEG, PNG & GIF ファイルのみアップロード可能です。";
$uploadOk = 0;
}
// 5. $uploadOk が 0 (エラー) かどうかを確認
if ($uploadOk == 0) {
echo "エラー:ファイルはアップロードされませんでした。";
// エラーがなければファイルのアップロードを試行
} else {
if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file)) {
echo "ファイル「". htmlspecialchars( basename( $_FILES["fileToUpload"]["name"])). "」がアップロードされました。";
} else {
echo "エラー:ファイルのアップロード中に問題が発生しました。";
}
}
?>