Laravelにおけるバリデーション（検証）はどのように機能しますか？

Question

Accepted Answer

Laravelは、受け取りリクエストデータが処理前にあなたのルールを満たしていることを確認する、強力で表現力豊かな**バリデーション**システムを提供しており、不正で悪意のある入力から保護します。最も単純な形式は`$request->validate()`で、ルールは文字列または配列として表現されます。 ## コントローラでのバリデーション ```php public function store(Request $request) { $validated = $request->validate([ 'name' => 'required|string|max:100', 'email' => 'required|email|unique:users', // must be a unique email 'age' => 'nullable|integer|min:0|max:120', 'password' => 'required|min:8|confirmed', // requires password_confirmation ]); // if validation FAILS → automatically redirects back with errors (or 422 JSON for APIs) // if it PASSES → $validated holds the safe, validated data User::create($validated); } ``` `$request->validate()`はルールをチェックします。**失敗時**、Laravelは自動的に戻るようにリダイレクトしてエラーメッセージを表示し（Webフォーム用）、またはエラーで422 JSONレスポンスを返します（API用）— エラーハンドリングコードを記述する必要はありません。**成功時**、検証済みのデータを取得します。 ## 一般的なバリデーションルール ```text required, nullable, sometimes present/absence rules string, integer, boolean, array type rules email, url, date, uuid format rules min:n, max:n, between:a,b size/range unique:table, exists:table database rules confirmed, same:field, different comparison in:a,b,c, regex:... value constraints ``` ## Bladeでエラーを表示する ```blade @error('email') {{ $message }} {{-- show the error for a field --}} @enderror {{-- old() repopulates after failure --}} ``` ## Form Requestクラス（複雑なバリデーション用） ```php // php artisan make:request StoreUserRequest → extract validation into its own class class StoreUserRequest extends FormRequest { public function rules(): array { return ['name' => 'required', 'email' => 'required|email']; } } public function store(StoreUserRequest $request) { // validation runs automatically User::create($request->validated()); } ``` 複雑または再利用可能なバリデーションの場合、**Form Request**クラスはルールをコントローラから抽出し（バリデーションはメソッド前に自動実行）— コントローラをシンプルに保ちます。 ## なぜ重要なのかバリデーションは**セキュリティと堅牢性**の両方にとって必須です — ユーザー入力を信頼してはいけないため、処理前に受け取りデータを検証することで、不正なデータと悪意のある攻撃から保護され、Laravelのバリデーションシステムはこれを清潔で強力にします。これを理解することは基本的な日常知識です。入力を受け付けるほぼすべてのエンドポイントにバリデーションが必要になるからです。 `$request->validate()`メソッドは非常に便利です — ルールをチェックし、**自動的に失敗を処理**し（フォーム用にエラー付きで戻るようにリダイレクト、API用に422 JSONを返す）、手動のエラーハンドリングコードなしで、成功時に安全な検証済みデータを提供します。表現力豊かなルール構文を知ることで（`required|email|unique:users`など）、ほとんどのバリデーション要件を宣言的にカバーできます。複雑または再利用可能なバリデーションの場合、**Form Requestクラス**はルール抽出によってコントローラをシンプルに保ち（バリデーション自動実行）— 保守性の高いコードのためのベストプラクティスです。 Laravelのバリデーション — 便利な`validate()`メソッド、ルール構文、自動エラーハンドリング、`old()`による再入力でBladeにエラーを表示、Form Requests — を理解することは、入力バリデーションが普遍的でセキュリティ重要な要件であるため、安全で堅牢なアプリケーションを構築するために重要です。Laravelはこれをエレガントに処理します。