【サクッと解説】PHP DB接続情報の外部ファイル化とセキュリティ対策

1. 本記事のポイント

• DB接続情報をPHPコードから分離し、外部ファイルとして管理する方法を解説
• 情報漏洩を防ぐための基本的なセキュリティ対策を紹介
• 実務で推奨される設計パターンと注意点を含む

2. PHPにおけるDB接続情報の外部ファイル化とは？

PHPでデータベースに接続する際、多くの初学者が接続情報（ホスト名、ユーザー名、パスワードなど）をスクリプト内に直接記述します。しかし、これはセキュリティ上のリスクとなるため、実務では接続情報を外部ファイルに分離するのが一般的です。

たとえば、config.php や .env ファイルなどに接続情報を定義し、それを require や環境変数経由で読み込む方式が採用されます。これにより、アプリケーションロジックと機密情報を明確に分離でき、保守性や再利用性が向上します。

特に複数環境（開発・本番など）で設定を切り替える場面では、この手法が非常に有効です。さらに、機密情報をGitなどのVCSから除外しやすくなるという利点もあります。

3. 詳細解説

基本的な外部ファイル化の例

もっとも基本的な手法は、PHPファイルを用いた設定管理です。

// config.php
return [
  'host' => 'localhost',
  'dbname' => 'sampledb',
  'user' => 'dbuser',
  'pass' => 'secret123'
];

// config.php
return [
  'host' => 'localhost',
  'dbname' => 'sampledb',
  'user' => 'dbuser',
  'pass' => 'secret123'
];

// main.php
$config = require 'config.php';

// PDOを用いたDB接続
$dsn = "mysql:host={$config['host']};dbname={$config['dbname']};charset=utf8mb4";
$pdo = new PDO($dsn, $config['user'], $config['pass']);

// main.php
$config = require 'config.php';

// PDOを用いたDB接続
$dsn = "mysql:host={$config['host']};dbname={$config['dbname']};charset=utf8mb4";
$pdo = new PDO($dsn, $config['user'], $config['pass']);

このように設定ファイルを return 形式で書くことで、配列として簡単に読み込むことができます。

.envファイルとdotenvライブラリの活用（Laravel等）

フレームワークでは .env ファイルと環境変数がよく使われます。以下は vlucas/phpdotenv ライブラリを使う方法です。

# .env
DB_HOST=localhost
DB_NAME=sampledb
DB_USER=dbuser
DB_PASS=secret123

# .env
DB_HOST=localhost
DB_NAME=sampledb
DB_USER=dbuser
DB_PASS=secret123

// bootstrap.php
require 'vendor/autoload.php';

$dotenv = Dotenv\Dotenv::createImmutable(__DIR__);
$dotenv->load();

$dsn = "mysql:host={$_ENV['DB_HOST']};dbname={$_ENV['DB_NAME']};charset=utf8mb4";
$pdo = new PDO($dsn, $_ENV['DB_USER'], $_ENV['DB_PASS']);

// bootstrap.php
require 'vendor/autoload.php';

$dotenv = Dotenv\Dotenv::createImmutable(__DIR__);
$dotenv->load();

$dsn = "mysql:host={$_ENV['DB_HOST']};dbname={$_ENV['DB_NAME']};charset=utf8mb4";
$pdo = new PDO($dsn, $_ENV['DB_USER'], $_ENV['DB_PASS']);

この手法では.envファイルをバージョン管理から除外し、別途 .env.example を配布する形が一般的です。

セキュリティ面の補足とアクセス制限

• .env や config.php は、Webサーバーの公開ディレクトリの外に配置することが基本です。
• 誤って公開ディレクトリに配置する場合は .htaccess 等でアクセス禁止設定を必ず行います。
• バージョン管理 .gitignore に config.php や .env を記述して除外し、漏洩リスクを下げます。

また、可能であれば環境変数はOSレベルで設定し、PHPコードでは getenv() を通じて取得する方法もあります。

4. よくあるミス・誤解・落とし穴

• config.phpを直下のpublic/ディレクトリに置く：URLから直接アクセス可能となり、重大な情報漏洩につながります。
• .envをGitにコミットしてしまう：初期構築時のうっかりミスとして非常に多い事例です。必ず .gitignore に追加しましょう。
• require時のパスミス：絶対パスか __DIR__ 定数を用いて、実行時に意図しないファイルが読み込まれないよう注意が必要です。
• PHPエラー出力を本番環境で有効のままにする：DB接続エラー時に接続情報がそのまま露出するケースがあります。適切なエラーハンドリングとログ出力の分離が必須です。

5. まとめ

PHPでDB接続情報を扱う際は、必ず外部ファイル化を行い、アプリケーションロジックから分離することが推奨されます。

設定ファイルは公開ディレクトリの外に配置し、VCS除外、アクセス制御、エラーハンドリングといった基本対策を講じることで、セキュリティリスクを大幅に低減できます。

実務では.env方式や配列形式のconfig.phpなど、プロジェクトの規模やフレームワークの有無に応じて最適な方法を選択してください。