第 18章ファイルアップロードの処理

目次
POST メソッドによるアップロード
エラーメッセージの説明
陥りやすい落とし穴
複数ファイルのアップロード
PUT メソッドのサポート

POST メソッドによるアップロード

PHP は、全てのRFC-1867対応ブラウザ(Netscape Navigator 3 以上、 MicrosoftからのパッチをあてたMicrosoft Internet Explorer 3または パッチ無しのそれ以降の版を含みます)からファイルのアップロードを 受けることができます。 この機能では、テキストとバイナリファイルの両方のアップロードが可能です。 PHPの認証機構およびファイル操作関数を用いて、アップロードを許可する ユーザーとアップロード後にそのファイルを使用して行う動作を完全に制御する ことが可能です。

関係する設定に関する注記: php.inifile_uploads, upload_max_filesize, upload_tmp_dir post_max_size ディレクティブ も参照下さい。

PHPはNetscape ComposerおよびW3CのAmayaクライアントにより使用される PUTメソッドによるファイルアップロードもサポートしていることに注意 して下さい。詳細は、PUTメソッドのサポート を参照下さい。

ファイルアップロード画面は、次のような特別なフォームを作成すること により、作成することができます。

例 18-1. ファイルアップロード用のフォーム

<form enctype="multipart/form-data" action="_URL_" method="POST">
<input type="hidden" name="MAX_FILE_SIZE" value="30000">
Send this file: <input name="userfile" type="file">
<input type="submit" value="Send File">
</form>
_URL_ はPHPファイルを指す必要があります。hidden フィールド MAX_FILE_SIZEは、input フィールド file の前に置く必要があります。 この値は、取得可能なファイルの最大サイズを規定します。この値はバイ ト数で指定します。

警告

MAX_FILE_SIZEはブラウザへの勧告に過ぎません。この最大値を 出し抜くのは簡単なことなので信頼してはいけません。しかし、 PHP側の最大サイズの設定を欺くことはできません。 しかしそれでもMAX_FILE_SIZEを指定すべきです。なぜなら、 巨大なファイルを転送しようとして、実はそれが大きすぎて 転送できないということを長時間待ったあとで知らされるのを 防げるからです。

ファイルのアップロードに際して定義される変数はPHPのバージョン及び 設定により異なります。 オートグローバル$_FILES は、PHP 4.1.0以降に存在します。 $HTTP_POST_FILESは、PHP 4.0.0以降に存在します。 これらの配列には、全てアップロードされたファイルの情報が 含まれています。$_FILESの使用が推奨されています。 PHPディレクティブ register_globalsonの場合、関係する変数名も存在します。 register_globals は、PHP 4.2.0 以降、offがデフォルトとなっています。

$_FILES の内容は次のようになります。ここでは、上の例のスクリプトで使われたように、 アップロードファイルの名前としてuserfileを使用する ことを仮定していることに注意して下さい。 実際にはどんな名前にすることもできます。

$_FILES['userfile']['name']

クライアントマシンの元のファイル名。

$_FILES['userfile']['type']

ファイルのMIME型。ただし、ブラウザがこの情報を提供する場合。 例えば、"image/gif"のようになります。

$_FILES['userfile']['size']

アップロードされたファイルのバイト単位のサイズ。

$_FILES['userfile']['tmp_name']

アップロードされたファイルがサーバー上で保存されているテンポラ リファイルの名前。

$_FILES['userfile']['error']

このファイルアップロードに関する エラーコード ['error']は、PHP 4.2.0で追加されました。

注意: 4.1.0より前のバージョンのPHPでは、この変数は $HTTP_POST_FILESで、$_FILESの ような オートグローバル 変数ではありませんでした。PHP 3は、 $HTTP_POST_FILESをサポートしていません。

php.iniregister_globalsonとなっている場合、追加の変数が利用可能となります。 例えば、$userfile_nameは、 $_FILES['userfile']['name']と同じで、 $userfile_typeは、 $_FILES['userfile']['type']と同じといったようになります。 PHP 4.2.0以降は、register_globalsのデフォルトはoffであることを 留意下さい。このディレクティブに依存しないことが推奨されます。

php.iniupload_tmp_dirディレクティブで 他の場所を指定しない限り、ファイルはサーバーにおけるデフォルトのテ ンポラリディレクトリに保存されます。サーバーのデフォルトディレクト リは、PHP を実行する環境において環境変数 TMPDIRを設 定することにより変更することができます。しかし、PHP スクリプトの内 部からputenv() 関数により設定しても上手くいきま せん。この環境変数は、アップロードされたファイルに他の処理を行う際 にも同様に使用することが可能です。

例 18-2. ファイルのアップロードを検証する

以下の例は、4.0.2 より後のバージョンの PHP 4 用です。 is_uploaded_file() およびmove_uploaded_file()の関数のエントリを 参照下さい。以下はフォームからファイルをアップロードするプロセスの例です。

<?php
// 4.1.0より前のPHPでは$FILESの代わりに$HTTP_POST_FILESを使用する必要
// があります。4.0.3より前のPHPではmove_uploaded_fileの代わりにcopy() と
// is_uploaded_file()を使用してください

$uploaddir = '/var/www/uploads/';
$uploadfile = $uploaddir. $_FILES['userfile']['name'];

print
"<pre>";
if (
move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
    print
"File is valid, and was successfully uploaded. ";
    print
"Here's some more debugging info:\n";
    
print_r($_FILES);
} else {
    print
"ファイルアップロード攻撃をされた可能性があります。デバッグ関連情報:\n";
    
print_r($_FILES);
}

?>

アップロードされたファイルを受け取る PHP スクリプトは、アップロー ドされたファイルを用いて何をするべきかを決めるために必要なロジック を全て実装する必要があります。例えば、変数 $_FILES['userfile']['size']を使用して、小さすぎ たり、大きすぎたりするファイルを捨てることができます。指定した型以 外のファイルを全て捨てるために変数 $_FILES['userfile']['type']を用いることができま す。 PHP 4.2.0以降、 $_FILES['userfile']['error'] を使用することができ、 エラーコード に基づき、ロジックを構成することができます。 何らかの方法により、テンポラリディレクトリからファイルを削除し たり、他の場所に移動したりする必要があります。

移動または名前の変更が行われていない場合、リクエストの終了時にその ファイルはテンポラリディレクトリから削除されます。