Webフォームのファイルバリデーション実装チェックリスト

ファイルアップロード機能の実装は、セキュリティ上の注意点が多く、見落としがちな落とし穴もたくさんあります。この記事では、本番環境で安全に動作するファイルアップロードを実装するためのチェックリストを解説します。

チェックリスト概要

1. ファイルサイズの検証

• アップロード上限をバイト単位で定義している（MBとMiBの混同なし）
• PHPの場合、upload_max_filesize と post_max_size の両方を設定している
• Nginxの場合、client_max_body_size に multipart オーバーヘッド分を加算している
• $_FILES['file']['error'] が UPLOAD_ERR_INI_SIZE / UPLOAD_ERR_FORM_SIZE の場合のエラーハンドリングがある
• 最小ファイルサイズのチェックがある（0バイトファイルの排除）

 $maxBytes) {
        throw new \RuntimeException(sprintf(
            'ファイルサイズ（%s）が上限（%s）を超えています',
            number_format($file['size']),
            number_format($maxBytes)
        ));
    }
}

2. ファイル形式の検証（MIMEタイプ）

• クライアントから送られる Content-Type（$_FILES['file']['type']）を信頼していない
• finfo / mime_content_type() でサーバー側のMIMEタイプ検証を行っている
• 許可するMIMEタイプのホワイトリストを定義している

file($file['tmp_name']);

if (!in_array($mimeType, $allowed, true)) {
    throw new \RuntimeException('許可されていないファイル形式です: ' . $mimeType);
}

3. ファイル拡張子の検証

• 拡張子のホワイトリストを定義している（ブラックリストではなくホワイトリスト）
• ダブル拡張子（shell.php.jpg）を検出・拒否している
• 大文字小文字を正規化して検証している（.JPG と .jpg を同一視）

 2) {
    throw new \RuntimeException('不正なファイル名です');
}

$ext = strtolower(pathinfo($originalName, PATHINFO_EXTENSION));
if (!in_array($ext, $allowed, true)) {
    throw new \RuntimeException('許可されていない拡張子です: ' . $ext);
}

4. マジックバイト（ファイルシグネチャ）の検証

• 重要なファイル（実行可能ファイルの排除など）でマジックバイトを検証している