MENU
  1. ホーム
  2. PHP
  3. PHPでファイルアップロードを安全に保存する方法【ディレクトリ指定】

PHPでファイルアップロードを安全に保存する方法【ディレクトリ指定】

PHP

PHPを使ってファイルをアップロードする機能は、ユーザーが画像やドキュメントなどのファイルをサーバーに保存できるようにするための基本的な機能です。しかし、適切に実装しなければ、サーバーの安全性やファイル管理に問題が発生する可能性があります。本記事では、ファイルを安全にアップロードし、指定したディレクトリに保存するためのPHPの使い方を詳しく解説していきます。基本的な仕組みから具体的なコード例、そしてセキュリティ対策までを網羅し、誰でもすぐに実装できる内容を目指しています。

目次

ファイルアップロードの基本知識

PHPによるファイルアップロードのプロセスは、ユーザーが選択したファイルをサーバー側に送信し、指定されたディレクトリに保存する一連の流れで構成されています。この処理は、HTMLフォームの<input type="file">を使い、ユーザーがファイルを選択し、「送信」ボタンをクリックすることで始まります。ファイルは一時フォルダに保存された後、PHPのmove_uploaded_file関数で指定のディレクトリに移動されます。

サーバーにファイルを保存する際には、いくつかの重要なチェックが必要です。例えば、ファイルサイズの制限やファイル拡張子の検証を行い、不正なファイルがアップロードされるリスクを防ぎます。このような基本的な知識をもとに、次のステップとして具体的なアップロード方法や注意点を学んでいきましょう。

move_uploaded_file関数とは

move_uploaded_file関数は、PHPでファイルをアップロードする際に使用される主要な関数です。この関数は、ユーザーがアップロードしたファイルを一時フォルダから指定されたディレクトリへ安全に移動させるために利用されます。move_uploaded_fileを正しく使うことで、ファイルの保存先を柔軟に指定でき、エラーやセキュリティリスクを最小限に抑えたファイルアップロードを実現します。

基本的な使い方

move_uploaded_file関数の基本構文は以下の通りです:

move_uploaded_file(一時ファイルのパス, 保存先のファイルパス);

たとえば、アップロードされたファイルを「uploads」ディレクトリに保存する場合は次のように記述します:

$temporaryFilePath = $_FILES['uploaded_file']['tmp_name'];
$destinationPath = 'uploads/' . $_FILES['uploaded_file']['name'];
move_uploaded_file($temporaryFilePath, $destinationPath);

注意点

  • move_uploaded_fileはアップロードファイルのみを移動できるため、通常のファイルには使用できません。
  • 関数の実行結果がfalseの場合、エラーが発生している可能性があるため、必ずエラーハンドリングを行いましょう。

アップロード先ディレクトリの設定方法

ファイルのアップロード先ディレクトリを正しく設定することは、ファイル管理を効率化し、セキュリティリスクを抑えるために重要です。PHPでは、ファイルをアップロードする前に適切なディレクトリを指定し、存在しない場合は作成することが推奨されます。

ディレクトリの指定方法

アップロード先のディレクトリは、move_uploaded_file関数の第2引数で指定します。以下のコード例では、アップロードファイルを「uploads」フォルダに保存するためのディレクトリ指定方法を紹介します。

$directory = 'uploads/';
$destinationPath = $directory . basename($_FILES['uploaded_file']['name']);
move_uploaded_file($_FILES['uploaded_file']['tmp_name'], $destinationPath);

ディレクトリの存在確認と自動作成

アップロード先のディレクトリが存在しない場合、エラーが発生する可能性があります。そこで、PHPのis_dir関数とmkdir関数を使用して、ディレクトリが存在しない場合に自動で作成するコードを追加します。

$directory = 'uploads/';
if (!is_dir($directory)) {
    mkdir($directory, 0755, true); // ディレクトリが存在しない場合に作成
}
$destinationPath = $directory . basename($_FILES['uploaded_file']['name']);
move_uploaded_file($_FILES['uploaded_file']['tmp_name'], $destinationPath);

パーミッションの設定

ディレクトリのパーミッション(アクセス権)も重要です。ファイルのアップロード先ディレクトリには、適切なパーミッション(通常は0755)を設定し、必要最小限のアクセス権を付与することでセキュリティを強化できます。この設定により、不正アクセスを防ぎながら、ファイルのアップロード機能を安全に動作させることができます。

ファイル名の重複問題の解決法

ファイルをアップロードする際、同じ名前のファイルが既に存在する場合、上書きされてしまうリスクがあります。これを防ぐためには、アップロード時にファイル名の重複をチェックし、一意なファイル名を付与する工夫が必要です。

一意なファイル名を付ける方法

重複を避ける一般的な方法として、アップロード時にファイル名の先頭にタイムスタンプやランダムな文字列を追加する方法があります。以下の例では、uniqid関数を使って一意なファイル名を生成します。

$directory = 'uploads/';
$originalFileName = $_FILES['uploaded_file']['name'];
$uniqueFileName = $directory . uniqid() . '_' . basename($originalFileName);
move_uploaded_file($_FILES['uploaded_file']['tmp_name'], $uniqueFileName);

ファイル名にタイムスタンプを追加する方法

もう一つの方法として、ファイル名にタイムスタンプ(現在時刻)を加える方法があります。これにより、アップロードのたびに異なる名前を生成できます。

$directory = 'uploads/';
$originalFileName = $_FILES['uploaded_file']['name'];
$uniqueFileName = $directory . time() . '_' . basename($originalFileName);
move_uploaded_file($_FILES['uploaded_file']['tmp_name'], $uniqueFileName);

元のファイル名を保持する場合の工夫

元のファイル名を保持しつつ一意性を持たせる場合、ファイルの拡張子を抽出して、ファイル名にランダムな文字列やタイムスタンプを追加します。

$directory = 'uploads/';
$originalFileName = pathinfo($_FILES['uploaded_file']['name'], PATHINFO_FILENAME);
$extension = pathinfo($_FILES['uploaded_file']['name'], PATHINFO_EXTENSION);
$uniqueFileName = $directory . $originalFileName . '_' . uniqid() . '.' . $extension;
move_uploaded_file($_FILES['uploaded_file']['tmp_name'], $uniqueFileName);

こうしたファイル名の工夫により、上書きのリスクを避け、安全にファイルをアップロードできます。

ファイルの拡張子チェックの重要性

ファイルアップロード時に拡張子をチェックすることは、セキュリティ上極めて重要です。正当なファイル形式のみを受け付けるようにすることで、不正なファイルがアップロードされるリスクを大幅に減らすことができます。特に画像ファイルやテキストファイルをアップロードする際には、拡張子チェックによってサーバーの安全性が保たれます。

許可する拡張子の設定方法

アップロードを許可する拡張子を設定し、それ以外のファイル形式をブロックすることで、想定外のファイルが保存されることを防ぎます。以下のコード例では、許可する拡張子を.jpg.png.pdfに限定しています。

$allowedExtensions = ['jpg', 'png', 'pdf'];
$fileExtension = pathinfo($_FILES['uploaded_file']['name'], PATHINFO_EXTENSION);

if (!in_array(strtolower($fileExtension), $allowedExtensions)) {
    echo "許可されていないファイル形式です。";
    exit;
}

MIMEタイプによる二重チェック

拡張子だけでは十分でない場合もあるため、MIMEタイプを用いて二重チェックを行うことも推奨されます。これにより、ファイルの実際の内容が許可された形式かどうかを確認し、さらにセキュリティを強化できます。

$allowedMimeTypes = ['image/jpeg', 'image/png', 'application/pdf'];
$fileMimeType = mime_content_type($_FILES['uploaded_file']['tmp_name']);

if (!in_array($fileMimeType, $allowedMimeTypes)) {
    echo "許可されていないファイル形式です。";
    exit;
}

チェック機能の統合例

以下は、拡張子とMIMEタイプの両方をチェックして、不正なファイルがアップロードされないようにする統合例です。

$allowedExtensions = ['jpg', 'png', 'pdf'];
$allowedMimeTypes = ['image/jpeg', 'image/png', 'application/pdf'];

$fileExtension = pathinfo($_FILES['uploaded_file']['name'], PATHINFO_EXTENSION);
$fileMimeType = mime_content_type($_FILES['uploaded_file']['tmp_name']);

if (!in_array(strtolower($fileExtension), $allowedExtensions) || !in_array($fileMimeType, $allowedMimeTypes)) {
    echo "許可されていないファイル形式です。";
    exit;
}

このような拡張子とMIMEタイプのチェックを組み合わせることで、サーバーへの不正ファイルのアップロードを防ぎ、セキュリティを確保することができます。

ファイルサイズの制限とエラーハンドリング

ファイルアップロード時にファイルサイズを制限することは、サーバーの負荷軽減や不正ファイルのアップロード防止に役立ちます。PHPでは、設定ファイルやコード内で最大ファイルサイズを指定し、制限を超えるファイルを拒否することができます。

最大ファイルサイズの設定方法

ファイルサイズ制限の設定は、php.iniファイルやHTMLフォームで行います。

  1. php.iniでの設定
    upload_max_filesizepost_max_sizeを指定して、サーバーで許容されるファイルサイズの上限を設定します。
   upload_max_filesize = 2M
   post_max_size = 8M

ここでは、ファイルの上限を2MBに、全体のPOSTリクエストの上限を8MBに設定しています。

  1. HTMLフォームでの設定
    <input type="hidden" name="MAX_FILE_SIZE" value="2000000">を使用して、サーバー側でのチェックに先立ち、ファイルサイズ制限を設けることが可能です(単位はバイト)。ただし、この設定はブラウザ依存であり、PHP側でのチェックも必須です。

ファイルサイズチェックの実装例

PHPコード内でファイルサイズを確認し、設定した制限を超える場合はエラーメッセージを表示してアップロードを中止します。

$maxFileSize = 2 * 1024 * 1024; // 2MB
if ($_FILES['uploaded_file']['size'] > $maxFileSize) {
    echo "ファイルサイズが制限を超えています。";
    exit;
}

エラーハンドリング

ファイルアップロード時には、さまざまなエラーが発生する可能性があるため、$_FILES['uploaded_file']['error']を利用して、エラーの原因を判定することができます。以下のコード例は、各エラーコードに対応したエラーメッセージを表示します。

switch ($_FILES['uploaded_file']['error']) {
    case UPLOAD_ERR_OK:
        break;
    case UPLOAD_ERR_INI_SIZE:
    case UPLOAD_ERR_FORM_SIZE:
        echo "ファイルサイズが制限を超えています。";
        exit;
    case UPLOAD_ERR_PARTIAL:
        echo "ファイルが一部しかアップロードされませんでした。";
        exit;
    case UPLOAD_ERR_NO_FILE:
        echo "ファイルが選択されていません。";
        exit;
    default:
        echo "不明なエラーが発生しました。";
        exit;
}

このようにファイルサイズ制限とエラーハンドリングを組み合わせることで、アップロードプロセスをより安全かつ確実に実行することができます。

ファイルのセキュリティ対策

ファイルアップロード機能にはセキュリティ上のリスクが伴います。不正なファイルがアップロードされると、サーバーへの侵入やデータ漏洩が発生する可能性があります。そのため、ファイルアップロードの際にはいくつかの重要なセキュリティ対策を実施する必要があります。

ファイルの保存場所の設定

アップロードされたファイルをWebルート(公開フォルダ)に直接保存するのは避けるべきです。代わりに、Webから直接アクセスできないディレクトリ(例:/var/www/uploadsなど)にファイルを保存し、アクセスが必要な場合はPHPスクリプトで処理します。

ファイルの実行権限を削除する

アップロードされたファイルが直接実行されないように、アップロード先ディレクトリのファイルに対して実行権限を付与しないことが推奨されます。たとえば、Apacheサーバーでは.htaccessファイルを使用して実行を無効化することができます。

<FilesMatch "\.(php|php5|phtml)$">
    deny from all
</FilesMatch>

ファイルの内容検証

ファイルの拡張子だけではなく、内容が正当な形式であるかを確認することで、セキュリティをさらに高めることができます。例えば、画像ファイルを検証する場合には、getimagesize関数を使用して画像形式かどうかを確認します。

if (!getimagesize($_FILES['uploaded_file']['tmp_name'])) {
    echo "不正なファイルです。";
    exit;
}

ディレクトリトラバーサルの防止

ユーザーがファイルパスを操作して意図しないディレクトリにアクセスすることを防ぐため、basename関数を利用してファイル名を整形します。これにより、../を含むパスを排除できます。

$filename = basename($_FILES['uploaded_file']['name']);
$destination = 'uploads/' . $filename;

CSRF対策

ファイルアップロード時に不正リクエストを防ぐため、フォームにCSRFトークンを追加します。サーバー側でトークンを生成し、フォーム送信時に一致を確認することで、第三者による不正なリクエストを防ぎます。

総合的なセキュリティ対策の統合例

以下に、上記のセキュリティ対策を統合したコード例を示します。

// CSRFトークンチェック
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    echo "不正なリクエストです。";
    exit;
}

// ファイル名の整形とディレクトリ設定
$filename = basename($_FILES['uploaded_file']['name']);
$destination = '/secure_path/uploads/' . $filename;

// ファイルの種類確認
$allowedMimeTypes = ['image/jpeg', 'image/png'];
$fileMimeType = mime_content_type($_FILES['uploaded_file']['tmp_name']);
if (!in_array($fileMimeType, $allowedMimeTypes) || !getimagesize($_FILES['uploaded_file']['tmp_name'])) {
    echo "不正なファイルです。";
    exit;
}

// ファイル移動と保存
if (!move_uploaded_file($_FILES['uploaded_file']['tmp_name'], $destination)) {
    echo "ファイルのアップロードに失敗しました。";
}

これらの対策を講じることで、ファイルアップロードにおけるセキュリティを大幅に向上させることができます。

実践例:画像ファイルのアップロード

ここでは、画像ファイルをアップロードする具体的な手順を実践的に解説します。画像ファイルのアップロードには、拡張子やファイルサイズのチェック、保存先の指定、セキュリティ対策が必要です。以下のコード例では、画像ファイル(JPEG、PNG)のアップロードを想定した一連のプロセスを示します。

1. HTMLフォームの作成

まず、画像ファイルを選択してアップロードできるHTMLフォームを作成します。enctype="multipart/form-data"を指定することで、ファイルを含むリクエストを送信可能にします。

<form action="upload.php" method="post" enctype="multipart/form-data">
    <input type="file" name="uploaded_file" accept="image/jpeg, image/png" required>
    <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
    <button type="submit">画像をアップロード</button>
</form>

2. PHPコードによるファイルアップロード処理

次に、アップロード処理を行うPHPコードを作成します。このコードでは、ファイルの種類やサイズ、CSRFトークン、保存先などをチェックし、セキュアなアップロードを実現します。

session_start();
// CSRFトークンのチェック
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    echo "不正なリクエストです。";
    exit;
}

// 許可する拡張子とMIMEタイプの定義
$allowedExtensions = ['jpg', 'jpeg', 'png'];
$allowedMimeTypes = ['image/jpeg', 'image/png'];

// ファイル情報の取得
$file = $_FILES['uploaded_file'];
$fileExtension = pathinfo($file['name'], PATHINFO_EXTENSION);
$fileMimeType = mime_content_type($file['tmp_name']);

// ファイルの拡張子とMIMEタイプのチェック
if (!in_array(strtolower($fileExtension), $allowedExtensions) || !in_array($fileMimeType, $allowedMimeTypes)) {
    echo "許可されていないファイル形式です。";
    exit;
}

// ファイルサイズのチェック(最大2MB)
$maxFileSize = 2 * 1024 * 1024;
if ($file['size'] > $maxFileSize) {
    echo "ファイルサイズが制限を超えています。";
    exit;
}

// アップロード先ディレクトリの指定とファイル名の整形
$directory = '/secure_path/uploads/';
if (!is_dir($directory)) {
    mkdir($directory, 0755, true);
}
$uniqueFileName = $directory . uniqid() . '_' . basename($file['name']);

// ファイルのアップロード実行
if (move_uploaded_file($file['tmp_name'], $uniqueFileName)) {
    echo "ファイルが正常にアップロードされました。";
} else {
    echo "ファイルのアップロードに失敗しました。";
}

3. コードの解説

  • 拡張子とMIMEタイプのチェック$allowedExtensions$allowedMimeTypesで、許可するファイル形式を画像ファイルのみに限定し、アップロード時のセキュリティを確保します。
  • ファイルサイズの制限:最大ファイルサイズを2MBに設定し、これを超えるファイルは拒否します。
  • 一意なファイル名の生成uniqid関数を用いて、一意なファイル名を生成し、重複を防ぎます。

4. 実行結果の確認

このコードを実行することで、指定した画像ファイルが正しい形式とサイズであれば、安全にサーバーの指定ディレクトリに保存されることを確認できます。

このように、画像ファイルのアップロード処理を実装することで、ユーザーがサーバーに安全に画像をアップロードできるようになります。

move_uploaded_fileの活用例:テキストファイルのアップロード

テキストファイルのアップロードも、画像ファイルと同様に設定やセキュリティに注意する必要があります。ここでは、テキストファイル(例:.txtファイル)をサーバーにアップロードする具体的なコード例を紹介します。拡張子やMIMEタイプの確認を行い、不正なファイルが保存されないよう対策を講じています。

1. HTMLフォームの作成

ユーザーがテキストファイルを選択してアップロードできるHTMLフォームを作成します。

<form action="upload_text.php" method="post" enctype="multipart/form-data">
    <input type="file" name="uploaded_file" accept=".txt" required>
    <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
    <button type="submit">テキストファイルをアップロード</button>
</form>

2. PHPコードによるテキストファイルのアップロード処理

アップロード処理を行うPHPコードです。このコードでは、テキストファイルかどうかを拡張子やMIMEタイプで確認し、ファイルサイズの制限も加えています。

session_start();
// CSRFトークンのチェック
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    echo "不正なリクエストです。";
    exit;
}

// 許可する拡張子とMIMEタイプの定義
$allowedExtension = 'txt';
$allowedMimeType = 'text/plain';

// ファイル情報の取得
$file = $_FILES['uploaded_file'];
$fileExtension = pathinfo($file['name'], PATHINFO_EXTENSION);
$fileMimeType = mime_content_type($file['tmp_name']);

// ファイルの拡張子とMIMEタイプのチェック
if (strtolower($fileExtension) !== $allowedExtension || $fileMimeType !== $allowedMimeType) {
    echo "許可されていないファイル形式です。";
    exit;
}

// ファイルサイズのチェック(最大500KB)
$maxFileSize = 500 * 1024; // 500KB
if ($file['size'] > $maxFileSize) {
    echo "ファイルサイズが制限を超えています。";
    exit;
}

// アップロード先ディレクトリの指定とファイル名の整形
$directory = '/secure_path/uploads_text/';
if (!is_dir($directory)) {
    mkdir($directory, 0755, true);
}
$uniqueFileName = $directory . uniqid() . '_' . basename($file['name']);

// ファイルのアップロード実行
if (move_uploaded_file($file['tmp_name'], $uniqueFileName)) {
    echo "テキストファイルが正常にアップロードされました。";
} else {
    echo "ファイルのアップロードに失敗しました。";
}

3. コードの解説

  • CSRFトークンのチェック:外部からの不正なアクセスを防ぐため、CSRFトークンを確認します。
  • ファイルの拡張子とMIMEタイプの確認$allowedExtension$allowedMimeTypeで、テキストファイル以外のアップロードを拒否します。
  • ファイルサイズの制限:ファイルサイズを500KB以下に制限し、これを超えるファイルのアップロードを拒否します。
  • 一意なファイル名の生成uniqid関数で一意のファイル名を生成し、名前の重複を避けます。

4. 実行結果の確認

このコードを実行することで、指定されたテキストファイルが条件を満たしていれば、サーバー上の指定ディレクトリに安全に保存されます。

この方法により、テキストファイルのアップロード機能を実装する際のセキュリティリスクを軽減し、安全なファイル管理が実現できます。

トラブルシューティング:エラー発生時の対応方法

ファイルアップロードでは、様々なエラーが発生する可能性があります。特に、ユーザーが指定した条件に合わないファイルをアップロードした場合やサーバー側の設定ミスなどが原因となることが多いです。ここでは、よくあるエラーの原因とその対策方法を紹介します。

1. ファイルサイズ超過エラー

エラー内容:ファイルサイズが制限を超えているためアップロードに失敗する。

解決方法php.iniでのupload_max_filesizepost_max_sizeの設定、またはコード内でサイズをチェックすることが必要です。HTMLフォームのMAX_FILE_SIZEも利用できます。

// PHPコードでのサイズチェック例
$maxFileSize = 2 * 1024 * 1024; // 2MB
if ($_FILES['uploaded_file']['size'] > $maxFileSize) {
    echo "ファイルサイズが制限を超えています。";
}

2. ファイル形式エラー

エラー内容:許可されていないファイル形式がアップロードされようとした場合に発生。

解決方法:拡張子とMIMEタイプのチェックを導入し、許可された形式以外はエラーメッセージを表示します。

$allowedMimeTypes = ['image/jpeg', 'image/png'];
$fileMimeType = mime_content_type($_FILES['uploaded_file']['tmp_name']);
if (!in_array($fileMimeType, $allowedMimeTypes)) {
    echo "許可されていないファイル形式です。";
}

3. 部分アップロードエラー

エラー内容:ファイルの一部しかアップロードされていない場合に発生(UPLOAD_ERR_PARTIAL)。

解決方法:ユーザーに再アップロードを促すか、ネットワーク環境の確認を依頼します。原因が特定しにくいため、ファイルサイズやサーバー設定も確認します。

4. ファイルが選択されていないエラー

エラー内容:ファイルが選択されていない状態でアップロードが試みられると発生(UPLOAD_ERR_NO_FILE)。

解決方法:アップロードフォームでファイルが選択されているか確認し、エラーメッセージを表示します。

if ($_FILES['uploaded_file']['error'] === UPLOAD_ERR_NO_FILE) {
    echo "ファイルが選択されていません。";
}

5. アップロード先ディレクトリエラー

エラー内容:ディレクトリのパーミッション不足や存在しないディレクトリによりエラーが発生する。

解決方法:ディレクトリが存在し、適切なパーミッションが設定されていることを確認します。ディレクトリが存在しない場合は、PHPコードでディレクトリを作成する処理を追加します。

$directory = 'uploads/';
if (!is_dir($directory)) {
    mkdir($directory, 0755, true);
}

6. 一般的なアップロードエラーハンドリングの例

エラーコードごとに適切なメッセージを表示するために、$_FILES['uploaded_file']['error']を使ってアップロードエラーの内容を確認し、ハンドリングします。

switch ($_FILES['uploaded_file']['error']) {
    case UPLOAD_ERR_OK:
        // 正常なアップロード
        break;
    case UPLOAD_ERR_INI_SIZE:
    case UPLOAD_ERR_FORM_SIZE:
        echo "ファイルサイズが制限を超えています。";
        break;
    case UPLOAD_ERR_PARTIAL:
        echo "ファイルが一部しかアップロードされませんでした。";
        break;
    case UPLOAD_ERR_NO_FILE:
        echo "ファイルが選択されていません。";
        break;
    default:
        echo "不明なエラーが発生しました。";
}

これらのトラブルシューティング方法を取り入れることで、ファイルアップロード時のエラーが発生した際に迅速に原因を特定し、適切なエラーメッセージをユーザーに伝えることが可能です。

応用:複数ファイルのアップロード方法

複数のファイルを一度にアップロードする機能は、ユーザーが多くのファイルを効率的にサーバーに送信できるようにするための便利な方法です。ここでは、PHPで複数ファイルを同時にアップロードする手順を解説します。各ファイルに対してセキュリティチェックを行い、指定のディレクトリに保存する例を紹介します。

1. HTMLフォームの作成

複数のファイルをアップロードするために、multiple属性を利用してファイル選択フォームを作成します。ユーザーが一度に複数のファイルを選択できるようになります。

<form action="upload_multiple.php" method="post" enctype="multipart/form-data">
    <input type="file" name="uploaded_files[]" multiple required>
    <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
    <button type="submit">ファイルをアップロード</button>
</form>

2. PHPコードによる複数ファイルのアップロード処理

複数のファイルをアップロードする際には、$_FILES['uploaded_files']配列をループ処理して、各ファイルごとにエラーチェックやセキュリティチェックを実行します。以下の例では、画像ファイル(JPEG、PNG)に限定してアップロード処理を行います。

session_start();
// CSRFトークンのチェック
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    echo "不正なリクエストです。";
    exit;
}

// 許可する拡張子とMIMEタイプの定義
$allowedExtensions = ['jpg', 'jpeg', 'png'];
$allowedMimeTypes = ['image/jpeg', 'image/png'];
$maxFileSize = 2 * 1024 * 1024; // 2MB
$directory = '/secure_path/uploads/';

if (!is_dir($directory)) {
    mkdir($directory, 0755, true);
}

// 各ファイルに対してアップロード処理を実行
foreach ($_FILES['uploaded_files']['name'] as $index => $name) {
    // ファイル情報の取得
    $fileTmpName = $_FILES['uploaded_files']['tmp_name'][$index];
    $fileSize = $_FILES['uploaded_files']['size'][$index];
    $fileError = $_FILES['uploaded_files']['error'][$index];
    $fileExtension = pathinfo($name, PATHINFO_EXTENSION);
    $fileMimeType = mime_content_type($fileTmpName);

    // エラーチェック
    if ($fileError !== UPLOAD_ERR_OK) {
        echo "ファイル「$name」のアップロード中にエラーが発生しました。";
        continue;
    }

    // 拡張子とMIMEタイプのチェック
    if (!in_array(strtolower($fileExtension), $allowedExtensions) || !in_array($fileMimeType, $allowedMimeTypes)) {
        echo "ファイル「$name」は許可されていない形式です。";
        continue;
    }

    // ファイルサイズのチェック
    if ($fileSize > $maxFileSize) {
        echo "ファイル「$name」のサイズが制限を超えています。";
        continue;
    }

    // 一意なファイル名の生成と保存
    $uniqueFileName = $directory . uniqid() . '_' . basename($name);
    if (move_uploaded_file($fileTmpName, $uniqueFileName)) {
        echo "ファイル「$name」が正常にアップロードされました。";
    } else {
        echo "ファイル「$name」のアップロードに失敗しました。";
    }
}

3. コードの解説

  • CSRFトークンのチェック:CSRFトークンを確認し、不正なリクエストを防ぎます。
  • ファイルの拡張子とMIMEタイプのチェック:各ファイルが画像形式(JPEG、PNG)であることを確認し、不正な形式のファイルをブロックします。
  • ファイルサイズの制限:2MB以上のファイルはアップロードを拒否し、エラーメッセージを表示します。
  • 一意なファイル名の生成uniqid関数で各ファイル名を一意にし、ファイル名の重複を回避します。

4. 実行結果の確認

このコードを実行することで、条件を満たした複数の画像ファイルが指定したディレクトリに安全に保存されます。エラーのあるファイルについては、それぞれ適切なメッセージが表示されるため、ユーザーはアップロードの成否を確認することができます。

この方法により、複数ファイルのアップロードがより安全かつ効率的に行えるようになります。

まとめ

本記事では、PHPを使用してファイルを安全にアップロードし、指定ディレクトリに保存する方法について解説しました。move_uploaded_file関数の基本的な使い方から、ファイル名の重複問題や拡張子・MIMEタイプのチェック、ファイルサイズ制限、複数ファイルのアップロード方法まで、幅広い内容をカバーしました。

ファイルアップロードは便利な機能である反面、セキュリティリスクも伴います。この記事で紹介したセキュリティ対策やエラーハンドリングを実装することで、安全で効率的なファイルアップロード機能を構築できます。これにより、ユーザーの利便性を高めつつ、サーバーの安全性を確保した堅牢なシステムを実現しましょう。

PHP
ファイルアップロード PHP move_uploaded_file

コメント

コメントする

目次