Web Design Leaves

リダイレクト

あるページから別のページへジャンプ（移動）させるには、header() 関数で Location ヘッダーを使用します。

if 文などで条件分岐させて、条件により別のページに移動させるなどの使い方ができます。

リダイレクトする場合は、300番台のステータスコードを使用します。 リダイレクトを表すステータスコードには「301」「302」「303」「307」の4種類があり、用途によって使い分けます。

例えばサイトの移転などで、移転先にジャンプさせたいときは、ステータスコード「301 Moved Permanently」を使用します。

以下はリダイレクトの例です。 注意点としては、header() 関数以下のスクリプトが実行されないように、必ず exit() 関数を使ってスクリプトを終了するようにします。

また、以下の例では、PHP の終了タグを記述していますが、この例のような PHP のみのコードで終了タグの後に何もない場合は、終了タグを省略したほうが良いです。

301 恒久的な移動

<?php
header('HTTP/1.1 301 Moved Permanently');
header('Location: http://example.com/');
exit();
?> 

または、

<?php
header('Location: http://example.com/', true, 301);
exit();
?> 

302 一時的な移動

<?php
header('Location: http://example.com/', true, 302);
exit();
?>

または、（302 はデフォルトなので省略可能）

<?php
header('Location: http://example.com/');
exit();
?>

サンプルページ：「redirect.php」

303 POST の処理後のリダイレクトなど

<?php
header('Location: http://example.com/', true, 303);
exit();
?>

Refresh ヘッダ

特定の時間経過後ページをリフレッシュします。ヘッダのURLで自身のページを参照すれば、自分自身をリフレッシュすることができます。

<?php
header('Refresh: 5; url=http://example.com/');
  echo '5秒後に example.com に移動します。移動しない場合は<a href="http://example.com/">こちら</a>をクリック';
?>

サンプルページ：「refresh.php」

キャッシュを無効にする

PHP では動的にページを生成するので、ブラウザのキャッシュを無効にしたい場合があります。（キャッシュされると内容を変更しても、古い内容が表示されてしまうことがあります）

header() 関数を使用すると、強制的にキャッシュを無効にすることができます。但し、header() 関数を使ってキャッシュを無効にしても、ブラウザの種類やユーザーの設定によりキャッシュされてしまうこともあります。

キャッシュを無効にするには、Cache-Control、Pragma を以下のように指定すると、強制的に無効にすることができます。また、Expires で過去の日付を指定するとキャッシュを無効にできます。

<?php
header("Expires: on, 01 Jan 1970 00:00:00 GMT");
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");
?>

PHP マニュアルには以下の方法が紹介されています。

<?php
header("Cache-Control: no-cache, must-revalidate"); // HTTP/1.1
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); // 過去の日付
?>

ファイルのダウンロード

ファイルをダウンロードさせるには、header() 関数を使います。

ダウンロードさせるファイルの形式により、Content-Type （以下の表参照）を指定して最後に readfile() 関数でファイルを出力します。readfile() 関数は、ファイルを読み込んで標準出力（ブラウザ）に書き出します。

以下は、画像ファイル（JPEG)をダウンロードさせるサンプルです。

<?php
$filename = "sample.jpg";
$filesize = filesize($filename);
$mime = "application/octet-stream";
header('Content-Type: "' . $mime . '"');
header('Content-Disposition: attachment; filename="'. $filename .'"');
header('Content-Transfer-Encoding: binary');
header('Expires: 0');
if (strstr($_SERVER['HTTP_USER_AGENT'], "MSIE") || strstr($_SERVER['HTTP_USER_AGENT'], "Trident")) { //IE
  header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
  header('Pragma: public');
}else{
  header('Pragma: no-cache');
}
header('Content-Length: ' . $filesize);
readfile($filename);
//終了タグは省略

サンプルページ：「download.php」

• Content-Type ：送信されるデータがどのようなものかを示す情報です。
• Content-Disposition ：attachment（添付ファイル）と宣言して、添付ファイルの名前を指定します。
• Content-Transfer-Encoding ：ファイルを転送するエンコード（binary）を指定します。
• Content-Length ：データのサイズをブラウザに伝えます。

また、IE と他のブラウザ（Firefox や Chrome など）は仕様が異なるため、処理を分けます。

IE では、「Expires: 0」と「header('Cache-Control:～)」でキャッシュを無効化し、他のブラウザでは「Expires: 0」と「Pragma: no-cache」でキャッシュを無効化します。

IE では、「Pragma: no-cache」を送信するとデータをダウンロードさせられなくなってしまうため「no-cache」以外の「public」か「private」を指定します。

参考リンク：ファイルのアップロード

• ファイルアップロードの例外処理はこれぐらいしないと気が済まない
• PHPにおけるファイルアップロードの脆弱性CVE-2011-2202

Basic 認証

Basic 認証（Basic Authentication）とは、HTTP で定義される認証（HTTP 認証）方式の一つです。

但し、Basic 認証は、パスワードがそのままHTTPのネットワークを流れるので、盗聴などセキュリティ上の危険性があるため、機密性の高いセキュリティが必要な場合は向いていません。

以下は、おおまかな Basic 認証の通信の流れです。

1. クライアントが認証が必要なページをリクエストします。（この時点では、クライアントはそのページが認証を必要とするかを知りません）
2. サーバは 401 レスポンスコードを返し、認証領域 (authentication realm) や認証方式 (Basic 認証) に関する情報をクライアントに知らせます。
3. クライアントは、認証領域をユーザに示して、ユーザ名とパスワードの入力を求めます。
4. ユーザによりユーザ名とパスワードが入力されると、クライアントはリクエストに認証ヘッダを追加して再度送信します。
5. 認証に成功すると、サーバは認証の必要なページのリクエストを処理します。ユーザ名やパスワードが間違っている場合は、サーバは再び401レスポンスコードを返し、それによりクライアントは再びユーザにユーザ名とパスワードの入力を求めます。

参考：Basic 認証/wikipedia

header() 関数の WWW-Authenticate ヘッダを使うと、ユーザー名 とパスワードを入力する認証画面が表示されます。

認証画面で入力されたユーザー名 とパスワードは Web サーバーに保存され、PHP では以下のグローバル変数で取得することができます。

• $_SERVER['PHP_AUTH_USER']：ユーザー名
• $_SERVER['PHP_AUTH_PW']：パスワード

以下は Basic 認証して、成功したら「Welcome: ユーザー名」と表示する例です。

<?php
  $user = "admin";
  $pw = "password";
  if (!isset($_SERVER['PHP_AUTH_USER'])) {
      /* 初めてこのページにアクセスした時の処理 */
      header('WWW-Authenticate: Basic realm="Restricted Area"');
      header('HTTP/1.0 401 Unauthorized');
      header('Content-type: text/html; charset=utf-8');
      //または、header('Content-type: text/html; charset='.mb_internal_encoding());
      die("User ID and Password required.");
  } else {
      /* 認証画面でユーザー名とパスワードを入力してOKを押した時の処理 */
      if ($_SERVER['PHP_AUTH_USER']!= $user || $_SERVER['PHP_AUTH_PW'] != $pw) {
          header('WWW-Authenticate: Basic realm="Restricted Area"');
          header('HTTP/1.0 401 Unauthorized');
          header('Content-type: text/html; charset=utf-8');
          die("Authorization Failed.");
      }
  }
  /* 認証に成功 */
  echo "<p>Welcome: " . htmlspecialchars($_SERVER['PHP_AUTH_USER']);
?>   

サンプルページ：「basic_auth_no_encrypt.php」

isset() を使って、$_SERVER['PHP_AUTH_USER'] が存在するかを調べます。初回アクセス時は、存在しないので、以下の記述により認証画面が表示されます。

header('WWW-Authenticate: Basic realm="Restricted Area"');
header('HTTP/1.0 401 Unauthorized');

WWW-Authenticate ヘッダで認証方式を「Basic」に指定して、認証画面で表示される認証領域（realm）の文字列を「Restricted Area」と指定しています。

Basic realm = "識別するための値"

Basic realm は、セキュリティゾーンというものを定義して、特定のユーザー名とパスワードを保護することができます。ユーザー名とパスワードが正しく入力されると、ブラウザはそれを覚えておいて、同一の realm では後続する認証ヘッダに対する認証ウィンドウを表示しないようにします。

Basic realm = "識別するための値" で指定した文字列は認証画面で表示されます。表示のされ方はブラウザにより異なります。

$_SERVER['PHP_AUTH_USER'] が存在すれば、ユーザー名とパスワードが一致するかを調べます。一致しない場合は、再度認証画面が表示されます。

ユーザーがキャンセルをクリックすると、die() によりメッセージが表示され終了します。

文字化けする場合は、header('Content-type: text/html; charset=utf-8'); を使って文字コードを指定します。

ユーザー名とパスワードをハッシュ化

前述の例では、ユーザー名とパスワードをそのままファイルに記述していますが、実際にはユーザー名とパスワードはハッシュ化しておく方が安全です。（または、ユーザー名とパスワードをパブリックからアクセスできない別ファイルに保存しておく方法もあります）

以下は、ユーザー名とパスワードを crypt() 関数を使ってハッシュ化しておく例です。

Basic 認証の場合、パスワードは crypt() 関数を使って簡単に生成できます。

crypt(“ハッシュ化する文字列”, "任意の２文字");

単純にPHP ファイルに以下のように記述して、ブラウザでプレビューできます。以下の例では、"任意の２文字"（salt）も crypt() 関数を利用しています。

<?php
$user = "user";
$pass = "test";
echo crypt($user, substr(crypt($user, 'ab'), -2)). "<br>";
echo crypt($pass, substr(crypt($pass, 'cd'), -2)). "<br>";
?>

ハッシュ化したユーザー名とパスワードの判定では、以下のように crypt を使用し、異なったハッシュアルゴリズムが使用された際の問題を避けるために、crypt() の結果（$hashed_user や $hashed_password）をパスワード比較用の salt として渡す必要があります。

crypt($_SERVER['PHP_AUTH_USER'], $hashed_user) != $hashed_user

<?php
  $hashed_user = 't.Xqhzo7lQWUo';  //別途 crypt 関数を使って作成しておく user
  $hashed_password = 's0ztT1X0BXSH2';  //同上 test
  if (!isset($_SERVER['PHP_AUTH_USER'])) {
      header('WWW-Authenticate: Basic realm="Restricted Area"');
      header('HTTP/1.0 401 Unauthorized');
      header('Content-type: text/html; charset=utf-8');
      die("User ID and Password required.");
  } else {
      if (crypt($_SERVER['PHP_AUTH_USER'], $hashed_user) != $hashed_user || crypt($_SERVER['PHP_AUTH_PW'], $hashed_password) != $hashed_password) {
          header('WWW-Authenticate: Basic realm="Restricted Area"');
          header('HTTP/1.0 401 Unauthorized');
          header('Content-type: text/html; charset=utf-8');
          die("Authorization Failed.");
      }
  }
  /* 認証に成功 */
?>
<!doctype html>
<html lang="ja">
<head>
<meta charset="utf-8">
<title>Basic Authentication</title>
</head>
<body>
<?php
echo "<h1>Welcome ! </h1><br>";
?>
</body>
</html>

サンプルページ：「basic_auth.php」

複数のページで認証スクリプトを使う

複数のページで認証スクリプトを使う場合は、以下の認証スクリプトを「authorize.php」として保存し、認証が必要なページの先頭で「require_once」で読み込むようにします。

または、.htaccess を使ってベーシック認証をする方法もあります。

//authorize.php
<?php
$hashed_user = 't.Xqhzo7lQWUo';  //別途 crypt 関数を使って作成しておく user
$hashed_password = 's0ztT1X0BXSH2';  //同上 test
if (isset($_SERVER['PHP_AUTH_USER']) and isset($_SERVER['PHP_AUTH_PW'])){
  if (crypt($_SERVER['PHP_AUTH_USER'], $hashed_user) == $hashed_user && crypt($_SERVER['PHP_AUTH_PW'], $hashed_password) == $hashed_password){
    return;
  }
}
header('WWW-Authenticate: Basic realm="Restricted Area"');
header('HTTP/1.0 401 Unauthorized');
header('Content-type: text/html; charset='.mb_internal_encoding());
die("Authorization Failed.");
?>

認証スクリプトを使うページでは以下のように記述します。

//authorize_test.php
<?php
require_once('authorize.php');
//認証スクリプトを読み込む
?>
<!doctype html>
<html lang="ja">
<head>
<meta charset="utf-8">
<title>Basic Authentication Test</title>
</head>
<body>
<?php
echo "<h1>Authorization passed ! </h1><br>";
?>
</body>
</html>

サンプルページ：「authorize_test.php」

参考：PHPでお手軽ベーシック認証 (Basic認証)

 [mail function]
; XAMPP: Comment out this if you want to work with an SMTP Server like Mercury
; SMTP = localhost
; smtp_port = 25

; For Win32 only.
; http://php.net/sendmail-from
;sendmail_from = postmaster@localhost

; XAMPP IMPORTANT NOTE (1): If XAMPP is installed in a base directory with spaces (e.g. c:\program filesC:\xampp) fakemail and mailtodisk do not work correctly.
; XAMPP IMPORTANT NOTE (2): In this case please copy the sendmail or mailtodisk folder in your root folder (e.g. C:\sendmail) and use this for sendmail_path.
; XAMPP: Comment out this if you want to work with fakemail for forwarding to your mailbox (sendmail.exe in the sendmail folder)
;sendmail_path = "\"C:\xampp\sendmail\sendmail.exe\" -t"

; XAMPP: Comment out this if you want to work with mailToDisk, It writes all mails in the C:\xampp\mailoutput folder
sendmail_path="C:\xampp\mailtodisk\mailtodisk.exe"   

 [mail function]
; XAMPP: Comment out this if you want to work with an SMTP Server like Mercury
; SMTP = localhost
; smtp_port = 25
・・・中略・・・
; XAMPP: Comment out this if you want to work with fakemail for forwarding to your mailbox (sendmail.exe in the sendmail folder)
sendmail_path = "\"C:\xampp\sendmail\sendmail.exe\" -t"

; XAMPP: Comment out this if you want to work with mailToDisk, It writes all mails in the C:\xampp\mailoutput folder
; sendmail_path="C:\xampp\mailtodisk\mailtodisk.exe"   

PHPMailer

最新の PHPMailer（6.1.4） の使い方については「PHPMailer の使い方」を御覧ください。
（追記：2020年3月13日）

「PHPMailer」は外部の SMTP サーバを利用（経由）してメールを送信するためのライブラリです。「PHPMailer」を XAMPP で利用できるようにする方法です。まずは、「PHPMailer」をダウンロードします。

• ダウンロードページ：https://github.com/PHPMailer/PHPMailer

PHPMailer を上記ページの「Download ZIP」ボタンをクリックしてダウンロードして「C:\xampp\php」に解凍します。

ライブラリを読み込むため「C:\xampp\php\php.ini」を編集して、include_path にライブラリの PATH を追加します。

「include_path」という文字列を検索すると、以下のような部分が見つかります。

行頭にセミコロンが付いていたら、削除して有効にします。

; Windows: "\path1;\path2"
include_path=".;C:\xampp\php\PEAR"

include_path にライブラリの PATH を追加します。それぞれのパスはセミコロン「;」で区切られているので、以下のようになります。

include_path=".;C:\xampp\php\PEAR;C:\xampp\php\PHPMailer"

「C:\xampp\php」に解凍した PHPMailer を PHPMailer として保存した場合。

SSLを使って通信する必要があるため、php.ini を編集して「extension=php_openssl.dll」 を有効にします。

「php_openssl.dll」という文字列を検索すると、以下のような部分が見つかります。

extension=php_openssl.dll

行頭にセミコロンが付いていたら、削除して有効にします。そして Apache を再起動します。

変更された内容は、phpinofo() で確認することができます。

include_path

include_path には、require()、include()などの関数がファイルを探すディレクトリのリストをセミコロン「;」区切りで指定します。それにより、インクルードパスで指定されたディレクトリ内のファイルは、相対パスや絶対パスをつけずにファイル名だけで呼ぶことができます。

PHP マニュアルの「include 」に、「ファイルのインクルードは、指定されたパスから行います。パスを指定しない場合は、 include_path の設定を利用します。」という記述があります。

動作確認（メール送信テスト）

以下の PHP を記述して、適当な名前（例：phpmailer_test.php）で「C:\xampp\htdocs」に保存します。

このファイルをブラウザで開くとメールが送信され、問題なくメールが送信されると「Message has been sent」と表示されます。（このままでは、日本語を使用すると文字化けします）

<?php
require_once('PHPMailerAutoload.php');  //PHPMailer の読み込み
$mail = new PHPMailer;  //PHPMailer のインスタンスを生成

$mail->isSMTP();    // SMTP を使用
$mail->Host = 'smtp.gmail.com';  // SMTP サーバーを指定
$mail->SMTPAuth = true;         // SMTP authentication を有効に
$mail->Username = 'xxxxxxxx@gmail.com';   // SMTP ユーザ名
$mail->Password = 'password';   // SMTP パスワード
$mail->SMTPSecure = 'tls';   // TLS encryption を有効に
$mail->Port = 587;    // TCP ポートを指定

$mail->setFrom('xxxxxxxx@gmail.com', 'Mailer');    //差出人
$mail->addAddress('info@example.com', 'WDL');     // 受信アドレス
$mail->addReplyTo('xxxxxxxx@gmail.com', 'Information');    //返信用アドレス
$mail->addCC('test@example.com');    //Cc アドレス

//$mail->addAttachment('photo_01.jpg');  // 添付ファイルを追加
$mail->isHTML(true);   // HTML形式のメールに設定

$mail->Subject = 'Here is the subject';
$mail->Body    = 'This is the HTML message body <b>in bold!</b>';
$mail->AltBody = 'This is the body in plain text for non-HTML mail clients';

if(!$mail->send()) {
    echo 'Message could not be sent.';
    echo 'Mailer Error: ' . $mail->ErrorInfo;
} else {
    echo 'Message has been sent';
}    

imap_open()

imap_open() 関数は、メールボックスへの IMAP ストリームをオープンします。以下が構文です。（オプションのパラメータは省略）

resource imap_open( $mailbox , $username , $password )

この関数は、POP3 や NNTP サーバーへのストリームをオープンする際にも使用可能です。 しかし、いくつかの関数および機能は IMAP サーバーでしか利用できません。

パラメータ

• mailbox（string）：メールボックス名(mailbox)は、サーバー名の部分と使用するサーバーにおける メールボックスへのパスから構成されます。特別な名前 INBOX は、 カレントユーザーの個人メールボックスを意味します。
• username（string）：ユーザー名。
• password（string）：username のパスワード。

戻り値

成功した場合は IMAP ストリームを、失敗した場合は FALSE を返します。

mailbox パラメータ

パラメータの「mailbox」は以下のような構成になっています。

• サーバー名：Internet ドメイン名 あるいは括弧でかこまれたサーバーの IP アドレス。
• ポート：オプションの TCP ポート番号。デフォルトは そのサービスのデフォルトポート。
• オプションのフラグ：以下の表を参照ください。
• メールボックス名：リモートメールボックス名。デフォルトは INBOX 。

前述の Gmail の例の場合は、以下のようになっています。

{imap.googlemail.com:993/novalidate-cert/imap/ssl}INBOX

imap_check()

imap_check() 関数は、現在のメールボックスに関する情報を調べます。以下が構文です。

object imap_check( $imap_stream )

パラメータ

• imap_stream（resource）：imap_open() が返す IMAP ストリーム。

戻り値

以下のプロパティをもつオブジェクトの情報を返します。失敗した場合には FALSE を返します。

• Date - 現在のシステム時刻をフォーマットしたもの。
• Driver - メールボックスにアクセスする際に使用するプロトコル: POP3、IMAP、NNTP
• Mailbox - メールボックスの名前。
• Nmsgs - メールボックス内のメッセージの数。
• Recent - メールボックス内の新規メッセージの数。

前述の例では、Nmsgs プロパティからメールボックス内のメッセージの数を取得しています。

$mboxes = imap_check($mbox);
$mail_cnt = $mboxes -> Nmsgs;

imap_headerinfo()

imap_headerinfo() 関数は、メールのメッセージヘッダを読み込んで、指定したメッセージ番号についての情報を取得します。以下が構文です。（オプションのパラメータは省略）

object imap_headerinfo( $imap_stream , $msg_number )

パラメータ

• imap_stream（resource）：imap_open() が返す IMAP ストリーム。
• msg_number（int）：メッセージ番号。

戻り値

以下のプロパティ（抜粋）をもつオブジェクト（の配列）を返します。

• to - To: 行から、次のプロパティを含むオブジェクトの配列を返します。 personal、adl、 mailbox および host
• from - From: 行から、次のプロパティを含むオブジェクトの配列を返します。 personal、adl、 mailbox および host
• reply_to - Reply-To: 行から、次のプロパティを含むオブジェクトの配列を返します。 personal、adl、 mailbox および host
• sender - Sender: 行から、次のプロパティを含むオブジェクトの配列を返します。 personal、adl、 mailbox および host
• date - ヘッダにあるメッセージの日付。
• subject - メッセージの件名。
• Size - メッセージのサイズ。

personal、adl、 mailbox および host は以下になります。

• mailbox - メールボックス名（ユーザー名）。
• host - ホスト名。
• personal - 個人名（名前）。
• adl - ドメインソースルート。

前述の例では、以下のような情報を取得しています。

//メールのヘッダー情報のオブジェクトを取得
$header = imap_headerinfo($mbox, $i);
//件名 $header -> subject をデコードしてエスケープ処理
$title = htmlspecialchars(mb_decode_mimeheader($header -> subject));
//受信日を取得
$from_date = $header -> date;
//差出人情報のオブジェクトを取得
$from = $header -> from;
//$from[0] -> mailbox （ユーザー名）、$from[0] ->host（ホスト名）でメールアドレスを作成
$email = $from[0] -> mailbox . "@". $from[0] ->host;
//差出人名をデコード
$name = mb_decode_mimeheader($from[0] -> personal);

imap_fetchbody()

imap_fetchbody() 関数は指定されたメッセージ本文中の特定のセクションを取得します。 本文パートは、この関数ではデコードされません。以下が構文です。

string imap_fetchbody( $imap_stream , $msg_number , $section [, $options ] )

パラメータ

• imap_stream（resource）：imap_open() が返す IMAP ストリーム。
• msg_number（int）：メッセージ番号。
• section（string）：パート番号。ピリオドで区切られた整数文字列を指定します。 これは、IMAP4 仕様における本文パートのリストへのインデックスとなります。
• options（int）：ビットマスクであり、以下の組合わせとなります。
  • FT_UID ： msg_numberは UID である
  • FT_PEEK ： 既に設定されていない場合、 \Seen（既読）フラグを設定しない
  • FT_INTERNAL ： 内部フォーマットで文字列を返す。CRLF に正規化しない。

section/パート番号は、添付のないテキストメッセージの場合は以下のようになります。

• 0 - Message header（メッセージヘッダ）
• 1 - Body text（本文のテキスト）

IMAP4のFETCHオプションの一覧

戻り値

指定されたメッセージ本文中の特定のセクションをテキスト文字列で返します。

前述の例では、本文のテキスト（1）を既読フラグを設定しない（FT_PEEK）で取得しています。

また、mb_convert_encoding() で「ISO-2022-JP」から「UTF-8」に変換して、エスケープ処理しています。

$content = imap_fetchbody($mbox, $i, 1, FT_PEEK);
$content = htmlspecialchars(mb_convert_encoding($content, "UTF-8", "ISO-2022-JP"));