PHP $_REQUEST

JPKODA 編集部 May 9, 2026

$_REQUEST は、デフォルトの状態で $_GET、$_POST、および $_COOKIE のすべての内容を含んでいる連想配列（Associative array）です。これはあらゆる入力データを受け取る「寄せ集め」のような変数ですが、これを使用する前に、その実行メカニズムや、異なるソースからのデータを一つのバリアブル（Variable）に混合することに伴うセキュリティ上の懸念を明確に理解しておく必要があります。

1. $_REQUEST の構成

本質的に、$_REQUEST はユーザー入力を取得するための統一されたインターフェースを提供します。リクエストが PHP スクリプトに到達すると、PHP エンジンは php.ini 設定ファイル内の request_order ディレクティブに従って $_REQUEST を生成します。このディレクティブが GP（デフォルト値）に設定されている場合、$_REQUEST には $_GET と $_POST からのデータが含まれます。

2. $_REQUEST を使用すべきタイミング

$_REQUEST の最大の利点は、その利便性（コンビニエンス）です。スクリプトを記述する際、入力データが URL パラメータ（GET）から来たのか、あるいはフォーム送信（POST）から来たのかを区別する必要がない場合、$_REQUEST を使用すれば、リクエストメソッド（Request method）を事前に判断することなく直接データを取得できます。

例えば、検索機能を想像してください。ユーザーは検索バーに内容を入力して検索を実行（POST）することもあれば、クエリパラメータ（Query parameter）を含む共有リンクをクリックして検索を実行（GET）することもあります。

// 以前は、両方のソースをチェックする必要がありました：
$query = $_POST['search'] ?? $_GET['search'] ?? '';

// $_REQUEST を使えば、直接取得できます：
$query = $_REQUEST['search'] ?? '';

3. リスクと競合

$_REQUEST はデータソースをマージ（統合）できる点が非常に強力ですが、同時にそれが最大の弱点でもあります。

3.1 データの上書き（オーバーライト）

PHP は特定の順序でこれらのアレイをマージします。もし URL パラメータとフォームフィールドが同じキー名（Key）を使用していた場合、request_order 設定で後から処理されるデータが前のデータを上書きします。例えば request_order が GP（GET が先、POST が後）の場合、$_POST のデータが $_GET のデータを上書きします。アプリケーションのロジックが特定の転送方式に依存している場合、予期しないプログラム動作を招く可能性があります。

3.2 セキュリティとデータの偽装

$_REQUEST には $_COOKIE データが含まれる可能性があるため、意図しないインタラクションのリスクに直面します。攻撃者はフォームフィールドと同名の Cookie を偽造することで、正当なフォームデータを密かに上書きすることができます。また、$_REQUEST に過度に依存すると、データの真のソースが曖昧になり、CSRF（クロスサイトリクエストフォージェリ）防御メカニズムなどの細かなセキュリティコントロール（通常は $_POST リクエストに厳密にバインドされるもの）の実装が困難になります。

強力な推奨： 本番環境のコードでは $_REQUEST の使用を避けてください。明示的に $_GET または $_POST を使用することで、コードに「自己文書化（Self-documenting）」の特性を持たせ、データ転送の背後にある真の意図を再確認することができます。どうしても複数の入力ソースを無差別（Indiscriminate）にサポートする必要がある場合にのみ、$_REQUEST の使用を検討してください。

4. 実装コードの比較

コントロール能力とセキュリティの差異をより明確に示すために、シンプルなログインシナリオにおける 2 つの異なるアプローチを見てみましょう。

4.1 明示的なスーパーグローバル変数の使用（推奨）

このアプローチは意図が明確でセキュアです。ログイン資格情報（Credentials）が必ず POST リクエストのボディ（Body）から来ることを強制します。

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    // POST からのみデータを取得
    $username = $_POST['username'] ?? '';
    $password = $_POST['password'] ?? '';
    
    // ログインロジックの処理...
}

4.2 $_REQUEST の使用（非推奨・低セキュリティ）

このアプローチでは、攻撃者が URL（GET 方式）経由でログイン資格情報を送信できる可能性があります。これにより、機密性の高いアカウント名やパスワードが Web サーバーのアクセスログやユーザーのブラウザ履歴にプレーンテキスト（明文）で記録される可能性があり、非常に不安全です。

// この方法は予期しないデータソースからの攻撃に対して脆弱です
$username = $_REQUEST['username'] ?? '';
$password = $_REQUEST['password'] ?? '';

5. まとめ

$_REQUEST は利便性のために設計されたラッパー（Wrapper）であり、異なるソースからの入力を一つの場所に統合します。シンプルなスクリプトにおけるコードの重複を減らすことはできますが、データソースの曖昧さを招き、セキュリティ監査（Security Audit）の複雑性を高め、キー名の競合による上書きの可能性を作り出します。

開発においては、サーバーの状態を変更する操作や機密データの処理には $_POST を優先し、単なるデータ取得には $_GET を使用してください。具体的な転送メソッドがビジネスロジックにとって完全に無関係である場合にのみ、$_REQUEST を使用するようにしましょう。