PHPとは？ 10分でわかりやすく解説

UnsplashのBen Griffithsが撮影した写真      

PHPは、Webサーバー上で動作し、アクセス内容やデータベースの情報に応じてWebページやAPIの応答を生成するサーバーサイドのスクリプト言語です。問い合わせフォーム、会員制サイト、ECサイト、管理画面、CMS、Web APIなどで使われます。学習しやすい一方、入力値の検証、HTML出力時のエスケープ、SQLインジェクション対策、サポート中バージョンの利用などを前提にしないと、保守性や安全性を損ないます。

PHPとは

PHPは、サーバー側で実行されるプログラミング言語です。利用者のブラウザで動くJavaScriptとは異なり、PHPの処理結果はサーバー上で生成され、HTMLやJSONなどの形式でブラウザやアプリへ返されます。

PHPの定義

PHPは、動的なWebサイトやWebアプリケーションを作るために使われるオープンソースの言語です。HTMLへ埋め込める構文を持ち、フォーム送信、ログイン処理、データベース検索、管理画面の表示など、リクエスト内容に応じた処理を実装できます。

代表的な使い方は、Webサーバーがリクエストを受け取り、PHPが必要な処理を実行し、結果をHTMLやJSONとして返す形です。ブログやコーポレートサイトではCMSの内部処理として使われ、業務システムでは管理画面や申請フォーム、予約機能、会員機能などに使われます。

PHPの特徴

PHPの歴史と現在のバージョン

PHPは、ラスマス・ラードフ氏が作成したPersonal Home Page Toolsを起点とし、1995年にソースコードが公開されました。その後、Web開発向けの言語として機能が拡張され、現在はPHP 8系で型システム、パフォーマンス、例外処理、オブジェクト指向機能などが強化されています。

導入や保守で見るべき点は、「PHP 8系かどうか」だけではありません。PHPはリリースブランチごとにサポート期間が決まっているため、利用中のバージョンがセキュリティサポート対象かを確認する必要があります。新規開発や更新では、php.netのSupported Versionsを確認し、サポート対象のブランチを選びます。

PHPとJavaScriptの違い

PHPとJavaScriptは、どちらもWeb開発で使われますが、主な役割が異なります。PHPはサーバー側でデータ処理やページ生成を行い、JavaScriptはブラウザ側で画面操作や非同期通信を担当することが多い言語です。

実務では、PHPでサーバー側の処理を作り、JavaScriptで画面操作を補う構成があります。SPAやモバイルアプリでは、PHPをAPIサーバーとして使い、フロントエンド側へJSONを返す構成もあります。

PHPの利点と注意点

PHPはWeb開発に取り組みやすい言語ですが、設計やセキュリティを軽視すると、保守しにくいコードになりやすい面もあります。導入時は、利点と制約を分けて確認します。

PHPの利点

• Webページやフォーム処理を比較的短いコードで実装しやすい
• WordPressなど、PHPで動くCMSや周辺情報が多い
• LaravelやSymfonyなどのフレームワークを利用できる
• Composerによりライブラリの導入と依存関係管理がしやすい
• MySQL、PostgreSQL、SQLiteなど複数のデータベースと連携できる
• レンタルサーバーや既存ホスティング環境で利用しやすい場合がある

小規模なフォームやCMSカスタマイズから、フレームワークを使った業務アプリケーションまで、開発規模に応じた選択肢があります。

PHPの注意点

• 古い書き方と新しい書き方が混在しており、既存コードの品質に差が出やすい
• 入力値の検証や出力時のエスケープを怠ると、脆弱性につながる
• 設計方針やコーディング規約がないと、処理が分散して保守しにくくなる
• サポートが終了したPHPバージョンを使い続けると、セキュリティ更新を受けられない
• CMSやプラグインを利用する場合、更新管理と不要プラグインの整理が欠かせない

PHPが安全でないというより、古いコード、古いバージョン、更新されていないプラグイン、入力値をそのまま扱う実装が問題になります。言語選定と同時に、運用方針を決めておく必要があります。

PHPが適しているケース

PHPが適しにくいケース

PHPは幅広いWeb開発で利用できますが、すべての用途で最初の選択肢になるわけではありません。

• リアルタイム性の高い常時接続処理を中心にしたシステム
• 機械学習や数値計算を中心にした処理
• 既存チームが別言語の運用基盤を持ち、PHPの保守体制がない環境
• PHPやCMSの更新管理を継続できない体制

これらの領域では、Node.js、Python、Go、Javaなど、要件やチーム体制に合う技術を比較します。PHPを使う場合も、役割をWeb画面や管理画面、APIなどに限定すると構成を整理しやすくなります。

PHPの基本文法

PHPの文法は、変数、配列、条件分岐、繰り返し、関数、クラスを押さえると、Webアプリケーションの基本処理を読みやすくなります。

PHPタグと出力

PHPコードは、通常 <?php から始めます。HTMLの中にPHPを埋め込み、条件に応じて出力を変えることもできます。

<?php
$name = 'Sato';
echo 'Hello, ' . $name;

文字列をHTMLへ出力する場合は、ユーザー入力をそのまま出さず、htmlspecialchars()などでエスケープします。これはXSS対策の基本です。

変数と型

PHPの変数は、$nameのようにドル記号を付けて書きます。主な型には、文字列、整数、浮動小数点数、真偽値、配列、オブジェクト、NULLがあります。

<?php
$title = 'PHP入門';
$count = 10;
$isPublished = true;
$tags = ['PHP', 'Web', 'Database'];

PHPは動的型付けの言語ですが、現在のPHPでは型宣言も使えます。関数の引数や戻り値に型を付けると、意図しない値の混入を防ぎやすくなります。

条件分岐と繰り返し

条件分岐にはif、elseif、else、複数条件の分岐にはmatchやswitchを使えます。繰り返しにはfor、foreach、whileなどがあります。

<?php
$role = 'admin';

if ($role === 'admin') {
    echo '管理者です';
} else {
    echo '一般ユーザーです';
}

$items = ['A', 'B', 'C'];
foreach ($items as $item) {
    echo $item;
}

実務では、配列やデータベースの結果をforeachで処理する場面が多くあります。

関数

関数は、処理を再利用するためのまとまりです。入力を受け取り、必要な処理を行い、結果を返します。

<?php
function formatPrice(int $price): string
{
    return number_format($price) . '円';
}

echo formatPrice(1200);

関数に型を付けると、引数と戻り値の意図が明確になります。チーム開発では、関数名、引数名、戻り値の意味を揃えることで、読みやすさと保守性が上がります。

クラスとオブジェクト指向

PHPはオブジェクト指向プログラミングを利用できます。クラスは、データと処理をまとめるための設計単位です。

<?php
class User
{
    public function __construct(
        private string $name
    ) {}

    public function getName(): string
    {
        return $this->name;
    }
}

$user = new User('Sato');
echo $user->getName();

LaravelやSymfonyなどのフレームワークでは、クラス、名前空間、依存性注入、ルーティング、コントローラーなどの考え方を使います。基本文法に加えて、フレームワーク側の設計規約も理解する必要があります。

PHPのフレームワークと開発環境

PHPを実務で使う場合、素のPHPだけで全体を作るより、フレームワーク、依存関係管理、テスト、デバッグ環境を組み合わせる方が保守しやすくなります。

代表的なPHPフレームワーク

フレームワークを使うと、認証、CSRF対策、入力検証、ルーティング、データベース操作などの実装方針を揃えやすくなります。ただし、フレームワークの規約を理解せずに使うと、独自実装が増えて保守しにくくなります。

Composerによる依存関係管理

Composerは、PHPプロジェクトで利用するライブラリを管理するための依存関係管理ツールです。利用するパッケージを定義し、必要なライブラリとバージョンをまとめて管理できます。

• プロジェクトで使うライブラリを追加・更新できる
• ライブラリ間の依存関係を解決できる
• composer.lockにより、環境ごとの差異を抑えやすい
• オートロード機能により、クラス読み込みを整理できる

Composerを使う場合は、開発環境、本番環境、CI/CD環境で同じ依存関係を再現できるように管理します。

IDEとデバッグ環境

PHP開発では、Visual Studio Code、PhpStormなどのエディタやIDEが使われます。コード補完、構文チェック、リファクタリング、デバッグ支援により、実装ミスを早期に見つけやすくなります。

デバッグでは、Xdebugを使ったブレークポイント、ステップ実行、スタックトレース確認が役立ちます。簡単な確認ではvar_dump()やログ出力を使うこともありますが、本番環境でデバッグ出力を表示しないように設定します。

テストと品質管理

PHPUnitなどのテストフレームワークを使うと、関数、クラス、API、ビジネスロジックの動作を自動で確認できます。変更時に既存機能が壊れていないかを確認しやすくなるため、継続的な保守に役立ちます。

実務では、テストだけでなく、静的解析、コード整形、脆弱性情報の確認、依存パッケージの更新も組み合わせます。PHPStan、Psalm、PHP_CodeSniffer、Composer auditなどを使う構成があります。

PHPとデータベース連携

PHPでWebアプリケーションを作る場合、データベース連携は主要な構成要素になります。会員情報、商品情報、問い合わせ履歴、投稿記事、ログなどを保存・検索・更新するためです。

PHPからデータベースへ接続する方法

PHPからデータベースへ接続する方法として、PDOやmysqliがあります。現在の新規開発では、複数のデータベースに共通の書き方で対応しやすいPDOが使われることがあります。

<?php
$pdo = new PDO(
    'mysql:host=localhost;dbname=app;charset=utf8mb4',
    $user,
    $password,
    [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION]
);

接続情報はコードに直接書かず、環境変数や設定ファイルで管理します。本番環境では、データベースを外部から直接操作できないネットワーク構成にします。

MySQLとの連携

MySQLは、PHPと組み合わせて使われることが多いリレーショナルデータベースです。WordPressをはじめ、多くのPHPアプリケーションで利用されています。

PHPとMySQLを組み合わせると、会員登録、ログイン、記事投稿、商品管理、注文履歴、管理画面などを実装できます。ただし、データベース設計、インデックス、トランザクション、バックアップ、権限管理を合わせて考えないと、性能や保守性に影響します。

SQL実行とプリペアドステートメント

外部から受け取った値をSQLへ含める場合は、プリペアドステートメントを使います。値をSQL文字列へ直接連結すると、SQLインジェクションの原因になります。

<?php
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
$stmt->execute(['email' => $email]);
$user = $stmt->fetch();

プリペアドステートメントを使うと、SQLの構造と値を分けて扱えます。認証処理や検索機能のように、ユーザー入力を扱う箇所では必ず確認します。

データベース連携で確認する項目

• データベース接続情報を安全に管理しているか
• ユーザー入力をプリペアドステートメントで扱っているか
• 文字コードをutf8mb4などに統一しているか
• 必要なインデックスを設定しているか
• トランザクションが必要な処理を分けているか
• バックアップと復旧手順を確認しているか

データベース連携は、動けばよいという領域ではありません。入力値、権限、例外処理、ログ、バックアップまで含めて設計します。

PHP開発で注意すべきセキュリティ

PHPで作るWebアプリケーションは、外部からの入力を扱います。そのため、セキュリティ対策は後付けではなく、実装方針として最初から組み込みます。

入力検証とエスケープ

フォームやURLパラメータなど、外部から受け取る値は信頼しません。型、文字数、形式、許可値を検証し、HTMLへ出力する際はエスケープします。

入力検証は、想定外の値を処理に入れないための対策です。エスケープは、出力先の文脈に応じて不正な解釈を防ぐための対策です。HTML、SQL、JavaScript、URLでは処理方法が異なります。

SQLインジェクション対策

SQLインジェクションは、入力値をSQLの一部として不正に解釈させる攻撃です。PHPでは、PDOやmysqliのプリペアドステートメントを使い、SQLの構造と値を分離します。

認証、検索、注文、管理画面など、データベースを操作するすべての箇所で確認します。管理画面向けの機能でも、入力値を安全に扱う方針は変わりません。

XSSとCSRFへの対策

XSSは、利用者のブラウザで不正なスクリプトを実行させる攻撃です。HTMLへ値を出力する際は、htmlspecialchars()などでエスケープします。

CSRFは、ログイン中の利用者に意図しない操作を実行させる攻撃です。フォーム送信や状態変更を伴うリクエストでは、CSRFトークンを使って正規の操作かを確認します。Laravelなどのフレームワークでは、こうした仕組みが用意されています。

バージョン管理と更新

PHP本体、フレームワーク、CMS、プラグイン、Composerパッケージは更新管理の対象です。サポートが終了したPHPバージョンや更新されていないプラグインを使い続けると、既知の脆弱性が残ります。

本番環境では、PHPバージョン、利用パッケージ、CMS、プラグインを棚卸しし、更新方針を決めます。更新前には検証環境で動作確認し、必要に応じてロールバック手順も準備します。

PHPを学ぶ順序

PHPをこれから学ぶ場合は、文法だけを暗記するより、Webアプリケーションの処理の流れに沿って学ぶ方が理解しやすくなります。

1. HTMLとHTTPの基礎を確認する
2. PHPの変数、配列、条件分岐、繰り返し、関数を学ぶ
3. フォーム送信とバリデーションを実装する
4. HTML出力時のエスケープを理解する
5. PDOでデータベースへ接続する
6. プリペアドステートメントでSQLを実行する
7. セッションを使ったログイン処理を学ぶ
8. Composerとフレームワークの基本を学ぶ
9. テスト、ログ、デバッグ、エラー処理を整える
10. サポート中のPHPバージョンで運用する

初期段階では、問い合わせフォーム、簡単な投稿機能、ログイン付き管理画面などを作ると、PHPの役割を把握しやすくなります。フレームワークは、基本文法とWebの仕組みを理解した後に学ぶ方が、内部で何が行われているかを追いやすくなります。

参考資料

• PHP：Supported Versions
• PHP Manual：History of PHP
• Composer：Introduction
• PHP Manual：Prepared statements and stored procedures

まとめ

PHPは、Webサーバー上で動作し、データベースやフォーム入力と連携して動的なWebページやAPIを生成するサーバーサイドのスクリプト言語です。CMS、問い合わせフォーム、会員サイト、管理画面、業務アプリケーションなど、Web開発の幅広い領域で使われます。

利点は、Web開発に取り組みやすく、WordPressやLaravelなどの周辺環境が揃っていることです。一方で、古い書き方、古いバージョン、入力値を安全に扱わない実装は、保守性や安全性の問題につながります。

PHPを実務で使うなら、基本文法だけでなく、Composer、フレームワーク、PDO、プリペアドステートメント、入力検証、エスケープ、テスト、更新管理まで合わせて理解します。小さく動くコードを書く段階から、長期運用できる構成へ進めることが、PHP開発の前提になります。

よくある質問（FAQ）