「IP制限がかかっているので、固定IPを教えてください」

と言われることがあります。

自宅回線は動的IP。
固定IPはオプションで高額。
既存の固定IPサービスは値段の割に速度も出ず不安定なこともある。

“どうするのが現実的なのか”

私が最終的に選んだのは、

VPSを契約し、その中にWireGuardでVPNを構築する方法でした。

なぜこの構成なのか

構成はシンプルです。

自宅（10.0.0.x）
→ VPSでNAT
→ 固定グローバルIPで外へ出る

月額数百円。
実務で使える速度。
自分で制御できる安心感。

実際に速度を計測したところ、

通常回線：下り400Mbps超
VPN経由：下り60Mbps前後

数字だけ見ると落ちますが、
実務用途では十分な帯域です。

むしろ重要なのは、

・安定性
・再現性
・トラブル時に自分で直せること

ここでした。

でも、構築は意外とハマる

実際にやってみると、
次のポイントで詰まりやすいです。

・パケットフィルターを開け忘れる
・UFWのFORWARDがDROPのまま
・NATのインターフェース名を間違える
・DNSだけ通らない
・SaveConfigでPeerが消える

「繋がっているのに通信できない」

この状態が一番しんどいです。

原因が分からないと、
時間だけが溶けます。

そこで、手順書をまとめました

実際に構築して、
ハマった順番で整理しています。

内容は以下です。

・シンVPS契約手順（SSHキー自動生成含む）
・パケットフィルター設定（TCP22 / UDP51820）
・UFW / FORWARD / NATの正しい設定
・WireGuard鍵構造の整理
・Mac / iPhoneの具体設定
・DNSトラブルの切り分け順

コマンドはコピペで進められるようにしつつ、
「なぜその操作をしているのか」も解説しています。

こんな人に向いています

・取引先に固定IP提出が必要
・安定した固定IP環境を自分で持ちたい
・ブラックボックスなサービスに依存したくない
・ネットワークの理解を一段深めたい

初心者向けというより、
エンジニア寄りの内容です。

詳細はこちら

noteで有料手順書として公開しています。

→シンVPS×WireGuardで「VPN」を作る手順書（Mac/iPhone対応）――固定IP（グローバルIP）が必要なあなたへ

もし、

「固定IPが必要だけど、どうするか迷っている」

そんな状態なら、
この構成はかなり現実的な選択肢です。

自分専用の“出口”を持つだけで、
仕事の自由度は大きく変わります。

しかし、
ここまでの処理には 決定的に足りない要素 があります。

それが、
データを保存する場所 です。

・ユーザー情報
・投稿内容
・お問い合わせ履歴

これらを毎回消えてしまう変数だけで扱うことはできません。

そこで登場するのが、
データベース（MySQL） です。

この記事では、
MySQLとは何か、なぜ必要なのか、
PHPとどう関係しているのか を
実装に進む前の段階として整理します。

この記事で学べること

・データベースとは何か
・MySQLの役割
・PHPとMySQLの関係
・CRUDという考え方
・次の記事で何を実装するのか

データベースとは何か

データベースとは、
データを整理して保存し、必要なときに取り出せる仕組み です。

単なるファイル保存とは違い、

・大量のデータを扱える
・高速に検索できる
・同時アクセスに強い

という特徴があります。

Webサービスでは、
データベースなしはあり得ない
と言っても過言ではありません。

なぜファイル保存ではダメなのか

「テキストファイルに保存すればいいのでは？」
と思うかもしれません。

しかし、実際には次の問題があります。

・検索が遅い
・同時アクセスに弱い
・データの整合性が取れない
・更新・削除が複雑

データベースは、
これらの問題を解決するために存在します。

MySQLとは何か

MySQLは、
世界で最も使われているデータベース管理システムの一つ です。

特徴としては、

・無料で使える
・高速
・情報が豊富
・PHPとの相性が良い

という点があります。

WordPressも、
内部では MySQL を使っています。

データベースは「表」で考える

データベースは、
表（テーブル） の集まりとして考えると分かりやすくなります。

イメージとしては、

・Excelのシート
・Googleスプレッドシート

に近いです。

テーブルの基本構造

1つのテーブルは、
次の要素で構成されます。

・列（カラム）
・行（レコード）

例えば、
ユーザー情報のテーブルでは、

・id
・名前
・メールアドレス

といった列があり、
1人分の情報が1行になります。

主キー（id）の役割

多くのテーブルには、
id という列があります。

これは、

・1行を一意に識別する
・重複しない
・自動で増える

という特徴を持つ
主キー です。

PHPとMySQLを連携する際、
この id が非常に重要になります。

PHPとMySQLの関係

PHPは、

・データを受け取る
・処理する
・表示する

役割を持ちます。

一方、MySQLは、

・データを保存する
・検索する
・更新する

役割を持ちます。

PHPは、
MySQLに命令を出す側
だと考えてください。

SQLとは何か

MySQLに対して命令を出すための言語が、
SQL（エスキューエル） です。

SQLを使うことで、

・データを保存する
・データを取得する
・データを更新する
・データを削除する

といった操作ができます。

CRUDという考え方

Webアプリのデータ操作は、
次の4つに分類できます。

・Create（作成）
・Read（取得）
・Update（更新）
・Delete（削除）

これをまとめて
CRUD と呼びます。

実務のWeb開発は、
ほぼ CRUD の組み合わせです。

PHP × MySQL 学習のゴール

この章（7章）のゴールは、
次の状態になることです。

・PHPからMySQLに接続できる
・データを保存できる
・データを一覧表示できる
・データを更新・削除できる

ここまでできるようになると、
「Webアプリを作れる」
という実感がはっきり出てきます。

次の記事で何をするのか

次の記事では、
いよいよ実際に手を動かします。

・MySQLに接続する
・データベースを作る
・テーブルを作る

環境構築と操作の基礎から
順番に進めていきます。

まとめ

MySQLは、

・Webアプリのデータを保存する場所
・PHPと組み合わせて使う
・CRUD操作が基本

という役割を持っています。

PHP基礎を終えた今、
MySQLに進むのは
最も自然で、最も成長を実感できるステップ です。

次に読むべき記事

▶ 次の記事
7-2 MySQLの基本操作（データベース・テーブル作成）

文法だけでなく、

・フォーム処理
・セキュリティ
・セッション
・ログイン処理

といった
「Webアプリとして動くために必要な要素」 を
一通り体験したことが、6章の最大の成果です。

この記事では、
6章全体を振り返りながら、

・何ができるようになったのか
・なぜこの順番で学んだのか
・次に何へ進むべきか

を整理します。

6章のゴールを再確認する

6章のゴールは、
次の状態になることでした。

・PHPのコードを読んで意味を説明できる
・フォームからの入力を正しく処理できる
・危険な入力をそのまま扱わない意識がある
・ログインの仕組みを「流れ」として理解している

完璧に書けること ではなく、
仕組みを理解していること が重要です。

6章で学んだ内容を流れで整理する

ここまでの記事を、
Webアプリの処理の流れ で整理します。

① PHPの基本文法（6-2 / 6-3）

・PHPはサーバーで動く
・変数とデータ型を使って値を扱う
・処理は上から順に実行される

ここで、
「PHPでコードを書くための最低限の土台」
を作りました。

② 処理を制御する（6-4 / 6-5 / 6-6）

・条件分岐（if / elseif / switch）
・繰り返し処理（for / foreach）

これにより、

・場合によって処理を変える
・同じ処理をまとめて書く

という
プログラムらしい動き ができるようになりました。

③ データをまとめて扱う（6-7）

・インデックス配列
・連想配列
・foreach との組み合わせ

フォーム入力やエラー管理など、
Web開発では配列が前提 であることを理解しました。

④ ユーザー入力を扱う（6-8 / 6-9）

・HTMLフォームとPHPの連携
・$_POST / $_GET の仕組み
・バリデーション（入力チェック）

ここで初めて、
ユーザーとPHPが直接つながる処理
を実装しました。

⑤ セキュリティの基礎（6-10 / 6-11）

・XSS（表示時の危険）
・CSRF（意図しない操作の危険）

「動くコード」から
「安全なコード」へ
視点を一段引き上げたパートです。

⑥ 状態を管理する（6-12 / 6-13）

・セッションの役割
・ログイン状態の管理
・ログイン処理の全体像

ここで初めて、
Webアプリとしての完成形 を
体験しました。

今できるようになっていること

6章を終えた時点で、
次のようなことができる状態になっています。

・フォームを作り、PHPで受け取れる
・入力値をチェックして処理を分けられる
・危険な入力をそのまま表示しない
・ログイン状態を管理できる

これは、
Web開発の「基礎体力」が一通り揃った状態 です。

まだ「できなくて普通」なこと

この時点で、
次のことができなくても問題ありません。

・データベース連携
・パスワードの安全な保存
・複雑な設計（MVCなど）
・フレームワークの内部構造

これらは、
次のステップで学ぶ内容 です。

次に進む前のおすすめ確認ポイント

次の章に進む前に、
以下を一度確認してみてください。

・if 文の条件を日本語で説明できるか
・foreach が何をしているか説明できるか
・XSS と CSRF の違いを説明できるか
・セッションの役割を説明できるか

すべて完璧でなくても、
「聞いたことがある」ではなく
「意味が分かる」 状態であれば十分です。

次に学ぶべき内容は何か

6章の次として、
最も自然でおすすめなのは
データベース（MySQL） です。

理由は明確です。

・ログイン情報を保存したい
・投稿やお問い合わせを保存したい
・一覧表示・編集・削除をしたい

これらはすべて、
データベースなしでは実現できません。

次章（7章）の位置づけ

7章では、

・MySQLとは何か
・データベースとテーブルの考え方
・PHPからデータを保存・取得する
・CRUD（作成・取得・更新・削除）

を順番に扱います。

ここまで進むと、
「Webアプリを作っている感覚」
がはっきり出てきます。

フレームワークはまだ使わなくていい

この段階では、
Laravel などのフレームワークは
まだ使わなくて問題ありません。

今は、

・PHPが何をしているのか
・なぜその処理が必要なのか

を理解していることの方が
はるかに重要です。

まとめ

6章では、
PHPを使ったWeb開発の基礎を、

・文法
・処理の流れ
・セキュリティ
・状態管理

という観点から
実装ベースで学びました。

ここまで来たあなたは、
「PHPを少し触った人」ではなく、
Webアプリの仕組みを理解している人
です。

次のステップとして、
MySQL × PHP（CRUD） に進む準備は
十分に整っています。

次に読むべき記事

▶ 次の記事
7-1 MySQLとは？データベースの役割と全体像

▶ 関連記事
6-13 PHPでログイン処理の基本を作ってみよう

・フォーム送信
・バリデーション
・XSS対策
・CSRF対策
・セッション管理

これらは、
ログイン処理 を作るために必要な要素です。

この記事では、
これまで学んだ内容を総動員して、
学習用のシンプルなログイン処理 を実装しながら、
Webアプリの全体像を整理します。

この記事で学べること

・ログイン処理の全体構造
・フォームから認証までの流れ
・セッションを使ったログイン管理
・実務につながる考え方

ログイン処理の全体像

まずは、
ログイン処理の流れを整理します。

1. ログインフォームを表示

2. ユーザーがID・パスワードを入力

3. PHPで入力内容を受け取る

4. バリデーションを行う

5. 認証に成功したらセッションに保存

6. ログイン後ページを表示

今回は、
データベースは使わず、
仕組みの理解に集中します。

ログインフォームを作成する

サンプルコード①：ログインフォーム

<form method="post" action="login.php">
  <label>
    ユーザー名：
    <input type="text" name="username">
  </label>
  <br>
  <label>
    パスワード：
    <input type="password" name="password">
  </label>
  <br>
  <button type="submit">ログイン</button>
</form>

ポイント

・name 属性が PHP 側と対応
・password は type=”password” を使用
・action で送信先を指定

ログイン処理（PHP側）

次に、
フォーム送信を受け取る PHP を作成します。

サンプルコード②：ログイン処理の基本

<?php
session_start();

$errors = [];

$username = $_POST['username'] ?? '';
$password = $_POST['password'] ?? '';

if ($username === '') {
  $errors[] = 'ユーザー名を入力してください';
}

if ($password === '') {
  $errors[] = 'パスワードを入力してください';
}

if (empty($errors)) {
  if ($username === 'admin' && $password === 'password') {
    $_SESSION['is_login'] = true;
    $_SESSION['username'] = $username;
    echo 'ログイン成功';
  } else {
    echo 'ユーザー名またはパスワードが違います';
  }
} else {
  foreach ($errors as $error) {
    echo $error . '<br>';
  }
}

コードの流れを整理する

このコードでは、
次のことを行っています。

・フォームデータを受け取る
・未入力チェックを行う
・認証情報を確認する
・成功したらセッションに保存

これまで学んだ内容が
すべて含まれている 点に注目してください。

セッションに保存する意味

ログイン成功時に、

$_SESSION['is_login'] = true;

を保存することで、

・このユーザーはログイン済み

という状態を、
ページをまたいで保持 できます。

ログイン後ページの例

ログイン後に表示するページでは、
次のようにチェックします。

サンプルコード③：ログイン判定

<?php
session_start();

if (empty($_SESSION['is_login'])) {
  echo 'ログインしてください';
  exit;
}

echo 'ようこそ、' . htmlspecialchars($_SESSION['username'], ENT_QUOTES, 'UTF-8') . 'さん';

ポイント

・ログインしていなければ処理を止める
・表示時は XSS 対策を行う

ログイン判定は、
保護したいページすべてに必要 です。

ログアウト処理の例

サンプルコード④：ログアウト

<?php
session_start();

$_SESSION = [];
session_destroy();

echo 'ログアウトしました';

このログイン処理は「学習用」

重要な注意点です。

今回の例は、

・パスワードを平文で比較
・データベース未使用

という
学習用の簡易実装 です。

実務では、

・パスワードのハッシュ化
・データベース連携

が必須になります。

それでもこの実装が重要な理由

このログイン処理を理解できると、

・Webアプリの全体像が見える
・フレームワークの仕組みが分かる
・次の学習につながる

という大きな意味があります。

「なぜ Laravel がこうなっているのか」
が、後で必ず理解できます。

初心者がよくつまずくポイント

ログイン処理で多いミスです。

・session_start の書き忘れ
・ログイン判定を書いていない
・XSS対策を忘れる

「ログインできた＝完成」
ではない点に注意しましょう。

まとめ

PHPでのログイン処理は、

・フォーム
・バリデーション
・セッション
・条件分岐

を組み合わせた
基礎の集大成 です。

ここまで実装できれば、
PHP基礎としては
実務の入口に十分到達 しています。

次に読むべき記事

▶ 次の記事
6-14 PHP基礎のまとめと次のステップ

▶ 関連記事
6-12 PHPでセッションを使って状態を管理する

しかし、Webアプリケーションには
もう一つ欠かせない要素があります。

それが、
「状態を保持する仕組み」 です。

・ログイン状態を覚えておきたい
・前の画面の情報を引き継ぎたい
・ユーザーごとに情報を管理したい

これらを実現するために使われるのが、
PHPのセッション です。

この記事では、
セッションとは何か、なぜ必要なのか、
PHPでの基本的な使い方 をコード付きで解説します。

この記事で学べること

・セッションとは何か
・なぜセッションが必要なのか
・session_start の役割
・セッションへの保存・取得方法
・ログイン処理につながる考え方

セッションとは何か

セッションとは、
ユーザーごとにサーバー側で情報を保存する仕組み です。

Webの通信（HTTP）は、
本来 状態を持たない という特徴があります。

つまり、

・ページを移動すると
・前の情報は基本的に失われる

という仕組みです。

この弱点を補うのが、
セッションです。

クッキーとセッションの違い

混同しやすいので、
ここで整理します。

・クッキー
　→ ブラウザ（ユーザー側）に保存
・セッション
　→ サーバー側に保存

セッションは、

・内容が外から見えない
・改ざんされにくい

という点で、
重要な情報の管理に向いています。

セッションは何に使われるのか

代表的な利用例です。

・ログイン状態の管理
・ユーザーIDの保持
・一時的なメッセージ表示
・フォームの確認画面

Webサービスでは、
ほぼ必ず使われる仕組み です。

セッションを使うための準備

PHPでセッションを使うには、
必ず最初に行う処理 があります。

それが、
session_start() です。

セッションを開始する

サンプルコード①：セッション開始

<?php
session_start();

ポイント

・この1行でセッションが使えるようになる
・$_SESSION という配列が利用可能になる
・必ず 出力より前 に書く

セッションに値を保存する

セッションは、
連想配列として扱います。

サンプルコード②：セッションに保存

<?php
session_start();

$_SESSION['username'] = '太郎';

これで、

・キー：username
・値：太郎

が、
ユーザーごとに保存されます。

セッションから値を取り出す

保存した値は、
別のページでも取り出せます。

サンプルコード③：セッションの取得

<?php
session_start();

echo $_SESSION['username'];

ページを移動しても、
同じユーザーであれば
この値は保持されます。

ログイン状態を管理する考え方

ログイン処理では、
次のように考えます。

・ログイン成功時
　→ セッションに情報を保存
・ログアウト時
　→ セッションを削除

この仕組みだけで、
ログイン状態を管理 できます。

ログイン成功時の例

サンプルコード④：ログイン成功時

<?php
session_start();

$_SESSION['is_login'] = true;
$_SESSION['user_id'] = 1;

これで、

・ログインしているか
・誰がログインしているか

を、
セッションで判断できるようになります。

ログイン状態を判定する

サンプルコード⑤：ログインチェック

<?php
session_start();

if (!empty($_SESSION['is_login'])) {
  echo 'ログイン中です';
} else {
  echo 'ログインしてください';
}

この判定は、
ログインが必要なページすべて に書きます。

ログアウト処理の基本

ログアウト時には、
セッションを破棄します。

サンプルコード⑥：ログアウト

<?php
session_start();

$_SESSION = [];
session_destroy();

これで、
セッションに保存されていた情報は
すべて削除されます。

セッション使用時の注意点

セッションを使う際の注意点です。

・session_start を忘れない
・出力前に呼び出す
・重要情報を入れすぎない

特に、
session_start の書き忘れ は
非常によくあるミスです。

セッションとCSRFの関係

前回学んだ
CSRFトークンも、
セッションに保存されていました。

これは、

・ユーザーごとに
・安全に
・値を保持する

という、
セッションの特性を活かした例です。

初心者がよくやるミス

セッションで多いミスです。

・session_start を書き忘れる
・セッションが消える理由が分からない
・ログイン判定を書いていない

「セッションはページをまたぐ」
という点を意識しましょう。

まとめ

この記事では、
PHPのセッションについて、

・セッションの役割
・保存と取得の方法
・ログイン管理の考え方

を学びました。

セッションが理解できると、
Webアプリケーションは
一気に 実用的な形 になります。

次に読むべき記事

▶ 次の記事
6-13 PHPでログイン処理の基本を作ってみよう

▶ 関連記事
6-11 CSRFとは？仕組みと対策

今回扱う CSRF は、
それとは別の方向から攻撃が行われます。

CSRFは、
ユーザーが意図していない操作を、
正規ユーザーとして実行させられてしまう脆弱性 です。

フォーム処理を行うPHPでは、
CSRF対策は必須 になります。

この記事では、
CSRFとは何か、なぜ危険なのか、
PHPでの基本的な対策方法 を
コード付きで解説します。

この記事で学べること

・CSRFとは何か
・CSRF攻撃の仕組み
・なぜCSRFが危険なのか
・PHPでの基本的なCSRF対策
・XSSとの違い

CSRFとは何か

CSRF（Cross Site Request Forgery）とは、
ログイン中のユーザーの権限を悪用し、
意図しないリクエストを送信させる攻撃 です。

攻撃者自身がログインするわけではなく、
被害者がログインしている状態 を利用する点が特徴です。

CSRF攻撃の典型的な流れ

CSRFは、
次のような流れで行われます。

1. ユーザーがWebサービスにログイン

2. ログイン状態のまま、別のサイトを閲覧

3. そのサイトから勝手にリクエストが送信される

4. サーバーは正規ユーザーの操作だと判断

5. 処理が実行されてしまう

ユーザーは、
自分が操作したつもりがなくても処理が実行される
という点が問題です。

CSRFで何が起こるのか

CSRFが成立すると、
次のような被害が起こります。

・パスワード変更
・メールアドレス変更
・投稿や削除処理
・退会処理

どれも
本人の意思とは無関係に実行される
可能性があります。

なぜCSRFが起きるのか

原因はシンプルです。

「そのリクエストが、本当に本人の操作かどうかを確認していない」

サーバー側が、

・ログインしている
という理由だけで
・正当な操作だと判断

してしまうことが問題です。

XSSとCSRFの違い

ここで整理しておきましょう。

・XSS
　→ スクリプトを実行させる攻撃

・CSRF
　→ リクエストを実行させる攻撃

どちらも危険ですが、
攻撃の方法と対策が異なります。

CSRF対策の基本は「トークン」

CSRF対策の基本は、
CSRFトークン を使う方法です。

トークンとは、

・推測できない文字列
・フォームごとに発行
・送信時に一緒に送る

という仕組みです。

PHPでCSRFトークンを生成する

まずは、
トークンを生成して
セッションに保存します。

サンプルコード①：トークン生成

<?php
session_start();

if (empty($_SESSION['csrf_token'])) {
  $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

コードの読み解き

・session_start
　→ セッションを開始
・random_bytes
　→ 安全なランダム文字列生成
・$_SESSION に保存

トークンは、
ユーザーごとに保持 されます。

フォームにトークンを埋め込む

次に、
フォームにトークンを含めます。

サンプルコード②：フォーム側

<form method="post" action="result.php">
  <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
  <button type="submit">送信</button>
</form>

ポイント

・hidden フィールドで送信
・ユーザーには見えない
・正規フォームからしか送信できない

送信時にトークンを検証する

フォーム送信後、
PHP側でトークンを確認します。

サンプルコード③：トークン検証

<?php
session_start();

if (
  empty($_POST['csrf_token']) ||
  $_POST['csrf_token'] !== $_SESSION['csrf_token']
) {
  echo '不正なリクエストです';
  exit;
}

echo '正規のリクエストです';

コードの読み解き

・トークンが存在するか
・セッションの値と一致するか

どちらかでも失敗した場合、
処理を中断 します。

CSRF対策が必要な処理

特にCSRF対策が必要なのは、
次のような処理です。

・登録
・更新
・削除
・設定変更

逆に、
表示のみの処理では
必須ではない場合もあります。

初心者がよくやるミス

CSRF対策で多いミスです。

・ログインしているから安全だと思う
・トークンを検証していない
・GETで更新処理を行う

更新系処理＝CSRF対策必須
と覚えておきましょう。

フレームワークがCSRF対策を自動化する理由

Laravelなどのフレームワークが
CSRF対策を自動で行うのは、

・実装ミスが起きやすい
・忘れると致命的

だからです。

基礎を理解しておくことで、
フレームワークの仕組みも
正しく理解できるようになります。

まとめ

CSRFは、

・ログイン中のユーザーを利用した
・意図しない操作を実行させる攻撃

です。

対策の基本は、

・CSRFトークンを発行
・フォームに埋め込む
・送信時に検証する

この流れを守ることです。

ここまで理解できれば、
フォーム処理に必要な
セキュリティ基礎は完成 です。

次に読むべき記事

▶ 次の記事
6-12 PHPでセッションを使って状態を管理する

▶ 関連記事
6-10 XSSとは？なぜ危険なのか

しかし、
バリデーションだけでは
セキュリティは十分ではありません。

入力されたデータは、
「正しい内容」であっても
安全とは限らない からです。

その代表的な脆弱性が、
XSS（クロスサイトスクリプティング） です。

この記事では、
XSSとは何か、なぜ危険なのか、
PHPでの基本的な対策方法 を
コード付きで解説します。

この記事で学べること

・XSSとは何か
・XSSが起きる仕組み
・XSSで何が起こるのか
・PHPでの基本的な対策方法
・バリデーションとの違い

XSSとは何か

XSS（Cross Site Scripting）とは、
ユーザーが入力した内容が、
意図せずスクリプトとして実行されてしまう脆弱性 です。

本来はただの文字として扱うべき内容が、

・HTMLとして解釈され
・JavaScriptとして実行される

ことで、
深刻な被害につながります。

XSSが起きる典型的な例

まずは、
問題のあるコード を見てみましょう。

サンプルコード①：危険な表示方法

<?php
$message = $_POST['message'] ?? '';
echo $message;

このコードでは、

・ユーザー入力を
・そのまま
・画面に表示

しています。

悪意ある入力がされた場合

もし、
次のような内容が入力されたらどうなるでしょうか。

<script>alert('XSS')</script>

この文字列が
そのまま表示されると、

・scriptタグが実行され
・アラートが表示される

という状態になります。

これが XSS です。

XSSで何が起こるのか

XSSが成立すると、
次のような被害が起こります。

・偽の画面を表示される
・入力内容を盗まれる
・Cookieを不正に取得される
・なりすましが行われる

ユーザーに直接被害が及ぶため、
非常に危険な脆弱性 とされています。

なぜXSSが起きるのか

原因は非常にシンプルです。

「ユーザー入力を信用して、そのまま出力している」

PHPは、
表示の安全性を
自動では保証してくれません。

XSS対策の基本は「エスケープ」

XSSを防ぐための基本対策は、
エスケープ処理 です。

エスケープとは、

・HTMLとして意味を持つ文字を
・ただの文字として扱う

ように変換することです。

PHPでの基本的なXSS対策

PHPでは、
次の関数を使うのが基本です。

・htmlspecialchars

サンプルコード②：安全な表示方法

<?php
$message = $_POST['message'] ?? '';
$safeMessage = htmlspecialchars($message, ENT_QUOTES, 'UTF-8');

echo $safeMessage;

コードの読み解き

・htmlspecialchars
　→ 特殊文字をHTMLエンティティに変換
・ENT_QUOTES
　→ シングル・ダブルクォートも変換
・UTF-8
　→ 文字コード指定

これにより、

・< や >
・" や '

が、
ただの文字として表示 されます。

バリデーションとXSS対策の違い

ここは非常に重要です。

・バリデーション
　→ 入力が正しいかを確認

・XSS対策
　→ 表示して安全かを確認

バリデーションをしていても、
XSS対策は必須 です。

エスケープは「出力時」に行う

XSS対策の基本原則です。

エスケープは、表示する直前に行う

理由は、

・保存形式を壊さない
・用途に応じて出力方法が変わる

ためです。

入力時ではなく、
出力時に必ずエスケープ
と覚えてください。

初心者がよくやるミス

XSS対策で多いミスです。

・バリデーションだけで安心する
・一部の表示だけ対策する
・エスケープを忘れる

「ユーザー入力を表示する」
＝
「XSS対策が必要」

この意識を持ちましょう。

実務での考え方

実務では、

・XSSが起きないようにする
ではなく
・XSSが起きる前提で対策する

という考え方が基本です。

まとめ

XSSは、

・ユーザー入力を
・そのまま表示することで
・発生する脆弱性

です。

対策の基本は、

・出力時にエスケープ
・htmlspecialchars を使う

この2点です。

ここまで理解できれば、
フォーム処理の安全性は
一段階上のレベル に到達しています。

次に読むべき記事

▶ 次の記事
6-11 CSRFとは？仕組みと対策

▶ 関連記事
6-9 PHPのバリデーションとは何か

しかし、
「受け取れる」だけでは
Webアプリケーションとしては不十分です。

・未入力のまま送信されていないか
・想定外の値が入っていないか
・そのまま処理しても問題ないか

これらをチェックする処理が、
バリデーション（入力チェック） です。

この記事では、
PHPでバリデーションを行うための
考え方と最小実装 を
コード付きで解説します。

この記事で学べること

・バリデーションとは何か
・なぜバリデーションが必要なのか
・必須入力チェックの実装方法
・エラーメッセージの管理方法
・フォーム処理での基本パターン

バリデーションとは何か

バリデーションとは、
入力されたデータが正しいかどうかを確認する処理 です。

「正しい」とは、

・空でない
・形式が合っている
・想定した範囲内である

といった条件を満たしていることを指します。

なぜバリデーションが必要なのか

バリデーションを行わないと、
次のような問題が起こります。

・未入力データが保存される
・処理の途中でエラーが起きる
・想定外の値で不具合が起こる

また、
ユーザーは必ずしも
正しく入力してくれるとは限らない
という前提で考える必要があります。

バリデーションの基本的な考え方

PHPでのバリデーションは、
次の流れで考えると分かりやすくなります。

1. 入力データを受け取る

2. 条件に合っているか確認する

3. 問題があればエラーを保存する

4. 問題がなければ次の処理へ進む

エラーは配列で管理する

バリデーションでは、
エラーメッセージを配列で管理 するのが基本です。

理由は、

・複数のエラーを同時に扱える
・後で表示方法を変えやすい
・処理の流れが整理される

からです。

必須入力チェックの基本

まずは、
最も基本的な必須入力チェック を見てみましょう。

サンプルコード①：必須チェック

<?php
$errors = [];

$username = $_POST['username'] ?? '';

if ($username === '') {
  $errors[] = '名前を入力してください';
}

if (empty($errors)) {
  echo '処理を続行します';
} else {
  foreach ($errors as $error) {
    echo $error . '<br>';
  }
}

コードの読み解き

・$errors
　→ エラーメッセージを入れる配列
・$username === ”
　→ 空文字かどうかをチェック
・エラーがあれば配列に追加
・最後にまとめて表示

この形が、
PHPバリデーションの基本形 です。

なぜ empty() ではなく === ” を使うのか

empty() は便利ですが、

・0
・’0′

なども「空」と判定します。

そのため、
文字入力の必須チェックでは
空文字かどうかを明示的に確認
する方が安全です。

複数項目のバリデーション

実際のフォームでは、
複数の入力項目を扱います。

サンプルコード②：複数項目チェック

<?php
$errors = [];

$name  = $_POST['name']  ?? '';
$email = $_POST['email'] ?? '';

if ($name === '') {
  $errors[] = '名前を入力してください';
}

if ($email === '') {
  $errors[] = 'メールアドレスを入力してください';
}

if (empty($errors)) {
  echo 'すべての入力が正しいです';
} else {
  foreach ($errors as $error) {
    echo $error . '<br>';
  }
}

文字数チェックの基本

次に、
文字数をチェックする例です。

サンプルコード③：文字数チェック

<?php
$name = $_POST['name'] ?? '';
$errors = [];

if (mb_strlen($name) > 20) {
  $errors[] = '名前は20文字以内で入力してください';
}

ポイント

・mb_strlen
　→ 日本語を含めた文字数を正しく数える
・文字数制限は実務で非常によく使われる

バリデーションは「処理の入口」で行う

重要な考え方です。

・データを使う前
・保存する前
・表示する前

必ず最初にバリデーションを行う
ことで、処理が安定します。

バリデーションとセキュリティは別物

ここは混同しやすいポイントです。

・バリデーション
　→ 入力が正しいか
・セキュリティ対策（XSSなど）
　→ 安全に表示できるか

バリデーションをしていても、
セキュリティ対策は必須 です。

初心者がよくやるミス

バリデーションで多いミスです。

・エラーが1つしか表示できない
・チェックせずに処理を進める
・入力値を直接信用する

「まずチェックする」
という順序を必ず守りましょう。

まとめ

この記事では、
PHPでのバリデーションについて、

・入力チェックの役割
・エラーを配列で管理する理由
・必須・文字数チェックの実装

を学びました。

ここまでできるようになると、
フォーム処理は
実務レベルに一段近づきます。

次に読むべき記事

▶ 次の記事
6-10 XSSとは？なぜ危険なのか

▶ 関連記事
6-8 PHPでフォームデータを受け取って表示する

・変数
・条件分岐
・繰り返し
・配列

といった、PHPの基礎的な部品がすべて揃いました。

ここからは、それらを組み合わせて
Webアプリケーションらしい処理 を書いていきます。

その第一歩が、
フォームデータをPHPで受け取る処理 です。

この記事では、

・HTMLフォームの送信
・PHPでの受け取り方
・表示するまでの最小構成

を、実際に動くコードで解説します。

この記事で学べること

・HTMLフォームとPHPの関係
・$_POST / $_GET の役割
・フォームデータの受け取り方
・受け取った値を表示する方法

フォーム送信の基本的な流れ

フォーム処理は、
次の流れで動いています。

1. HTMLでフォームを表示

2. ユーザーが入力して送信

3. PHPがデータを受け取る

4. 処理・表示を行う

この流れを
一度しっかり体験すること が重要です。

HTMLフォームを作成する

まずは、
最小構成のフォーム を作ります。

サンプルコード①：HTMLフォーム

<form method="post" action="result.php">
  <label>
    名前：
    <input type="text" name="username">
  </label>
  <br>
  <button type="submit">送信</button>
</form>

ポイント

・method=”post”
　→ POST送信を行う
・action
　→ 送信先のPHPファイル
・name 属性
　→ PHP側で使うキー名

name 属性がないと、
PHPでは値を受け取れません。

PHPでフォームデータを受け取る

次に、
送信先の PHP ファイルを作成します。

サンプルコード②：フォームデータの受け取り

<?php
$username = $_POST['username'];

echo $username;

コードの読み解き

・$_POST
　→ POST送信されたデータをまとめた配列
・[‘username’]
　→ フォームの name 属性と対応
・echo
　→ 値を表示

これで、
フォームに入力した内容が
画面に表示されます。

$_POST は配列である

ここは非常に重要です。

$_POST は、
連想配列 です。

つまり、

・キー → name 属性
・値 → 入力された内容

という構造になっています。

未定義エラーを防ぐ書き方

フォーム未送信時に
エラーが出るのを防ぐため、
次の書き方がよく使われます。

サンプルコード③：安全な受け取り方

<?php
$username = $_POST['username'] ?? '';

echo $username;

ポイント

・??（null合体演算子）
　→ 値がなければ空文字にする

この書き方は、
実務でも頻繁に使われます。

GET送信との違い

フォームは、
GET送信することもできます。

サンプルコード④：GET送信フォーム

<form method="get" action="result.php">
  <input type="text" name="keyword">
  <button type="submit">検索</button>
</form>

PHP側の受け取り

<?php
$keyword = $_GET['keyword'] ?? '';
echo $keyword;

POSTとGETの使い分け

目安は次の通りです。

・登録・更新
　→ POST

・検索・ページ移動
　→ GET

フォーム処理で必ず意識すべきこと

ここでは
あえて表示だけ を行っていますが、
実務では次の処理が必須になります。

・未入力チェック（バリデーション）
・XSS対策
・CSRF対策

これらは、
次の記事以降で順番に扱います。

初心者がよくやるミス

フォーム処理で多いミスです。

・name 属性を書き忘れる
・$_POST と $_GET を混同する
・未送信時のエラーを放置する

「送信 → 受け取り」
の対応関係を必ず確認しましょう。

学習初期のおすすめ練習

次の練習がおすすめです。

・入力欄を増やして受け取る
・複数項目を echo で表示する
・GET と POST を切り替えて確認する

まとめ

この記事では、
PHPでフォームデータを受け取るための
基本を学びました。

・HTMLフォームと name 属性
・$_POST / $_GET の役割
・安全な受け取り方

ここまで理解できれば、
PHPで ユーザー入力を扱う土台 が完成です。

次に読むべき記事

▶ 次の記事
6-9 PHPのバリデーションとは何か

▶ 関連記事
6-7 PHPで配列を扱う基本

その中で何度も登場したのが、
配列 です。

実際のWeb開発では、

・フォームの入力値
・エラーメッセージ
・データベースから取得したデータ

など、
ほとんどのデータが配列として扱われます。

この記事では、
PHPで配列を扱うための基礎として、

・配列とは何か
・配列の作り方
・配列の取り出し方

を、実際に動くコードで整理します。

この記事で学べること

・配列の基本的な考え方
・配列の作成方法
・インデックス配列と連想配列の違い
・foreach と組み合わせた使い方

配列とは何か

配列とは、
複数の値を1つにまとめて扱うためのデータ型 です。

変数が
「1つの値を入れる箱」
だとすると、

配列は
「複数の箱をまとめたもの」
と考えると分かりやすくなります。

インデックス配列とは

インデックス配列は、
番号（0,1,2…）で管理される配列 です。

サンプルコード①：インデックス配列

<?php
$fruits = ['りんご', 'みかん', 'ばなな'];

echo $fruits[0];

コードの読み解き

・$fruits
　→ 配列
・[0]
　→ 最初の要素

配列の番号は、
0から始まる
点に注意してください。

配列の中身をすべて表示する

配列は、
foreach と組み合わせることで
簡単に中身を処理できます。

サンプルコード②：配列を順番に表示

<?php
$fruits = ['りんご', 'みかん', 'ばなな'];

foreach ($fruits as $fruit) {
  echo $fruit . '<br>';
}

連想配列とは

連想配列は、
キーと値のセットで管理される配列 です。

名前や設定値など、
意味のあるデータを扱うときに使われます。

連想配列の基本

サンプルコード③：連想配列

<?php
$user = [
  'name' => '太郎',
  'age' => 20,
  'email' => 'test@example.com'
];

echo $user['name'];

コードの読み解き

・’name’
　→ キー
・’太郎’
　→ 値

番号ではなく、
意味のあるキー名 で
データを扱えるのが特徴です。

連想配列を foreach で扱う

連想配列も、
foreach で処理できます。

サンプルコード④：キーと値を同時に使う

<?php
$user = [
  'name' => '太郎',
  'age' => 20,
  'email' => 'test@example.com'
];

foreach ($user as $key => $value) {
  echo $key . '：' . $value . '<br>';
}

実務での配列の使われ方

配列は、
次のような場面で必ず使われます。

・フォーム入力値（$_POST）
・エラーメッセージの管理
・データベースの検索結果

これらはすべて
配列として扱われる
という点を覚えておきましょう。

配列と条件分岐・繰り返しの組み合わせ

配列は、

・条件分岐
・繰り返し処理

と組み合わせて使うことで、
初めて実用的になります。

次の記事では、
配列を使った
フォームデータ処理 に進みます。

初心者がよくやるミス

配列で多いミスです。

・配列なのに echo しようとする
・存在しないキーを参照する
・配列と普通の変数を混同する

「今扱っているのは配列か？」
を常に意識してください。

学習初期のおすすめ練習

次の練習をすると、
配列の理解が深まります。

・配列を作って表示する
・foreach で一覧表示する
・連想配列を条件分岐と組み合わせる

まとめ

この記事では、
PHPで配列を扱うための基本として、

・インデックス配列
・連想配列
・foreach との組み合わせ

を学びました。

配列が理解できると、
PHPのコードは
一気に「Webアプリらしく」なります。

次に読むべき記事

▶ 次の記事
6-8 PHPでフォームデータを受け取って表示する

▶ 関連記事
6-6 PHPで繰り返し処理（for / foreach）