質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.52%

  • PHP

    20299questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

PHP $HTTP_RAW_POST_DATA が非推奨となった理由について

解決済

回答 1

投稿

  • 評価
  • クリップ 2
  • VIEW 863

ykws

score 1062

PHP 7.0 では削除されたので検討の余地もないことかもしれませんが、
file_get_contents が利用できないサーバ環境で POST リクエストの生データを扱いたいときに、
仮に PHP 5.6 の環境であれば、すでに非推奨ではあるが、まだ削除されていないため、
利用する上での危険性について知りたくて質問しています。

公式のマニュアルを当たると、 php://input の利用を推奨され、理由について記述は見当たりませんでした。

$HTTP_RAW_POST_DATA の代わりに、 php://input を使うべきです。

PHP: $HTTP_RAW_POST_DATA 

ディレクティブの説明にある未設定だとアクセス不可の可能性があるため、というのが有力でしょうか。

TRUE に設定すると、PHP は常に $HTTP_RAW_POST_DATA にアクセス可能とします。 この変数には生の POST データが格納されています。 指定しなかった場合は、 データの MIME 型が判別できない場合のみこの変数にアクセス可能となります。

PHP: always_populate_raw_post_data

ディレクティブの設定に依存しないが理由と考えて良いのでしょうか?
メモリの消費量も理由と思えそうなのですが、後者の $HTTP_RAW_POST_DATA は php://input の
typo と読み替えて妥当でしょうか?
であれば、より説得力があるかなと腑に落ちます。

POST リクエストの場合は $HTTP_RAW_POST_DATA よりも php://input を使うのが望ましいでしょう。php.ini ディレクティブの設定に依存しないからです。
さらに、$HTTP_RAW_POST_DATA がデフォルトで設定されない場合は、 always_populate_raw_post_data を有効にするよりも $HTTP_RAW_POST_DATA を使うほうがメモリの消費量が少なくなるでしょう。

PHP: php://input

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+4

$HTTP_RAW_POST_DATAの廃止理由はメモリ使用量の削減が目的である、のだと思います。
あまりアクセス性についての議論はされていないように見えました。

PHP RFC: Slim POST data
https://wiki.php.net/rfc/slim_post_data

ですので危険性という点からは想定以上のメモリ消費が発生することにより性能劣化等の可能性がある、ということになるでしょうか。

php://inputの説明についてですが、英文での説明を確認したところでは、自信はないですが
it は "$HTTP_RAW_POST_DATAが設定されなかった場合" を指しているように見えます。
「always_populate_raw_post_data を有効にするよりも $HTTP_RAW_POST_DATA を使うほうが」は「always_populate_raw_post_data を有効にして $HTTP_RAW_POST_DATA を使うよりも」と読んだ方がよいかもしれません。

php://input is a read-only stream that allows you to read raw data from the request body.
php://input は読み込み専用のストリームで、 リクエストの body 部から生のデータを読み込むことができます。

In the case of POST requests, it is preferable to use php://input instead of $HTTP_RAW_POST_DATA as it does not depend on special php.ini directives.
POST リクエストの場合は $HTTP_RAW_POST_DATA よりも php://input を使うのが望ましいでしょう。php.ini ディレクティブの設定に依存しないからです。

Moreover, for those cases where $HTTP_RAW_POST_DATA is not populated by default, it is a potentially less memory intensive alternative to activating always_populate_raw_post_data.
さらに、$HTTP_RAW_POST_DATA がデフォルトで設定されない場合は、 always_populate_raw_post_data を有効にするよりも $HTTP_RAW_POST_DATA を使うほうがメモリの消費量が少なくなるでしょう。

php://input is not available with enctype="multipart/form-data".
php://input は、 enctype="multipart/form-data" に対しては使用できません。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/09/22 10:30

    ありがとうございます。
    英文の it はそう解釈するのが正しそうですね。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.52%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • PHP

    20299questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。