【Laravel入門】初心者向け！フォームからデータ登録の実践

Laravelは、その高い開発効率とモダンな設計思想により、世界中の開発者に愛されているPHPフレームワークの筆頭です。あなたもLaravelを学び始めたばかりかもしれませんね。 Webアプリケーション開発の現場で「基本中の基本」となる操作、それがCRUD（Create, Read, Update, Delete）です。この中でも、ユーザーが直接関わる最初のステップが「Create（作成）」、すなわち「フォームを通じたデータ登録」です。

データを画面に表示するところまではできたけれど、「どうやってフォームを作って、コントローラでデータを受け取り、データベースに安全に保存すればいいの？」と悩んでいませんか？ この一連の流れは、初心者エンジニアにとって最初の大きな壁となることが多いですが、Laravelの仕組みを理解すれば、驚くほどシンプルに実装できます。

本記事は、あなたがすでにデータベース接続、マイグレーション（テーブル定義）、そしてデータの基本的な表示（Read）を終えていることを前提としています。つまり、いよいよ本格的な「入力・保存」のロジックに挑戦するタイミングです。 今回は、以下の重要なテーマに焦点を当てながら、フォームの作成からセキュアなデータ保存までを、具体的なコード例と丁寧な解説でステップバイステップで進めます。これを読めば、あなたは自信を持ってLaravelアプリケーションにデータ入力機能を追加できるようになるでしょう。

• フォームの設計: ユーザーにとって使いやすいHTMLフォームの作り方。
• ルーティング: データ送信先のルートと、HTTPメソッド（GET/POST）の適切な使い分け。
• セキュリティ: Laravelの必須機能であるCSRF対策。
• コントローラ: フォームからのデータ（リクエスト）を安全に受け取る方法。
• Eloquent: データベースへのデータ保存をシンプルに行う実践方法。

フォーム実装の全体像：Laravelでデータを保存するまでの道筋

いよいよLaravelでデータを「登録」する作業に入ります。この「フォームからのデータ登録」は、Webアプリケーションの心臓部とも言える機能であり、単にHTMLフォームを作るだけでなく、セキュリティ対策や入力チェックといった多くの重要なプロセスを含んでいます。 ここでは、あなたがこの一連の流れを迷わずに進められるように、データがユーザーの画面からデータベースに到達するまでの全体像を、具体的にブレイクダウンして解説します。

ユーザー入力からDB保存までの主要な6つのステップ

データ登録プロセスは、大きく分けて以下の6つのフェーズで構成されます。それぞれのステップが独立しつつも連携しており、この全体像を把握することが、Laravelでの開発をスムーズに進める鍵となります。

• 1. Bladeテンプレートでフォームを作成する (フロントエンド)
  • ユーザーがタイトルや本文などのデータを入力するためのHTMLフォーム（<form>タグ）を作成します。
  • この際、Laravelに必須のCSRFトークン（セキュリティ対策）を仕込むことを忘れてはいけません。
• 2. ルーティングでフォーム送信先を設定する (交通整理)
  • フォームが送信されるURL（アクション属性）と、それを待ち受けるHTTPメソッド（通常はPOST）をroutes/web.phpで定義します。
  • 「GETでフォームを表示」→「POSTでデータを受け取る」という2つのルートをセットで定義するのが一般的です。
• 3. コントローラーでリクエストを処理する (司令塔)
  • 定義したPOSTルートに対応するコントローラメソッド（例: storeメソッド）で、フォームから送られてきたリクエストデータを受け取ります。
• 4. バリデーションで入力チェックを行う (データの番人)
  • 受け取ったデータが、必須項目であるか、文字数制限を満たしているかなど、ビジネスロジックに基づいたチェックを厳密に行います。Laravelのバリデーション機能は非常に強力で、この工程がセキュリティとデータの品質を担保します。
• 5. データベースに保存する (永続化)
  • チェックをクリアした安全なデータのみを、Eloquent ORMを使ってデータベースの該当するテーブルに書き込みます。
• 6. 保存されたデータや結果画面にリダイレクトする (フィードバック)
  • データの保存が成功したら、フォーム画面に戻すのではなく、新しく作成された記事の詳細ページや、記事一覧ページにユーザーをリダイレクトさせ、操作が完了したことをフィードバックします。

Bladeでフォームを作成する：セキュリティとUXを高める実践コード

データ登録の第一歩は、ユーザーが直感的に使えるHTMLフォームをBladeテンプレートで作成することです。ここでは、単にHTMLタグを並べるだけでなく、Laravelならではのセキュリティ機能と、ユーザー体験（UX）を向上させる仕組みを組み込みます。 フォームのファイルは、慣習に従いresources/views/articles/create.blade.phpに配置して進めましょう。

実践コード：投稿フォームの雛形

以下のコードは、記事のタイトルと本文を入力するための、必要最低限かつセキュリティを考慮したフォームです。Laravelのあたらしいバージョンでは　@errorやold()が使えます。

<form action="<?php echo route('articles.store'); ?>" method="POST">
    @csrf

    <div class="control−group">
        <label class="control−label" for="title">タイトル</label>
        <div class="controls">
            <input type="text" id="title" name="title" value="<?php echo old('title'); ?>" class="input−xlarge">
            <?php echo '@error('title')'; ?>
                <span class="help−inline" style="color:red;"><?php echo '{{ $message }}'; ?></span>
            <?php echo '@enderror'; ?>
        </div>
    </div>

    <div class="control−group">
        <label class="control−label" for="body">本文</label>
        <div class="controls">
            <textarea id="body" name="body" rows="5" class="input−xlarge"><?php echo old('body'); ?></textarea>
            <?php echo '@error('body')'; ?>
                <span class="help−inline" style="color:red;"><?php echo '{{ $message }}'; ?></span>
            <?php echo '@enderror'; ?>
        </div>
    </div>

    <div class="form−actions">
        <button type="submit" class="btn btn−primary">
            記事を投稿する
        </button>
    </div>
</form>

このフォームで絶対に押さえておくべき3つのポイント

上記のコードには、ただのHTMLでは実現できない、Laravel開発で必須となる3つの重要機能が含まれています。若手エンジニアは、この仕組みを深く理解することが重要です。

1. 必須のセキュリティ対策：@csrfディレクティブ

フォーム内の@csrfは、クロスサイトリクエストフォージェリ (CSRF) 攻撃からアプリケーションを保護するために必須です。 このディレクティブは、フォーム内に非表示のトークン（隠しフィールド）を埋め込みます。フォームが送信されると、Laravelはこのトークンを検証し、正規のフォームから送信されたデータであることを確認します。これがなければ、Laravelはセキュリティ上の理由でリクエストを拒否します。

2. ユーザー体験を向上させる：old()ヘルパ関数

もしユーザーがフォームに入力した後、バリデーションエラーが発生して画面に戻されてしまったら、どうなるでしょうか？入力内容がすべて消えていたら、ユーザーはもう一度入力し直さなければならず、非常にストレスを感じます。 value="<?php echo old('title'); ?>"のようにold('フィールド名')を使うことで、前回入力された値が自動的にフィールドに保持されます。これにより、ユーザーはエラー箇所だけを修正すればよく、ユーザーフレンドリーなフォームになります。

3. エラーメッセージの表示：@errorディレクティブ

<?php echo '@error('title')'; ?>は、指定したフィールド（この場合は`title`）にバリデーションエラーがある場合にのみ、その中のHTML（エラーメッセージ）を表示するためのBladeの便利な仕組みです。 エラーがない場合は何も表示されません。これにより、煩雑なPHPのif文を書くことなく、エラーメッセージをシンプルかつクリーンに表示できます。<?php echo '{{ $message }}'; ?>には、Laravelが生成した適切なエラー文が自動で挿入されます。

コントローラーを作成する：リクエストを受け取り、データを処理する「司令塔」

Bladeでフォームを作成したら、次はそのフォームから送信されたデータ（リクエスト）を受け取り、処理するコントローラーを作成します。コントローラーは、アプリケーションのビジネスロジックを実行する「司令塔」の役割を果たします。

コントローラーの作成

Laravelでは、Artisanコマンドを使ってコントローラーファイルを簡単に作成できます。ターミナルで以下のコマンドを実行しましょう。

$ php artisan make:controller ArticleController

このコマンドにより、app/Http/Controllers/ArticleController.phpというファイルが自動的に生成されます。

フォーム表示とデータ保存のメソッドを実装する

作成したArticleController.phpに、フォームを表示するためのcreateメソッドと、フォームから送信されたデータを処理・保存するためのstoreメソッドを実装します。特にstoreメソッドは、データ登録のロジックが詰まった重要な部分です。

ArticleController.php の実装コード

<?php
namespace App\Http\Controllers;

use App\Models\Article;
use Illuminate\Http\Request;
use App\Http\Controllers\Controller; // PSR−2に従い、クラス名を明示的にuse

class ArticleController extends Controller {
    /**
     * 記事作成フォームを表示する
     *
     * @return \Illuminate\View\View
     */
    public function create() {
        // resources/views/articles/create.blade.php を返す
        return view('articles.create');
    }

    /
     * 新しい記事をデータベースに保存する
     *
     * @param \Illuminate\Http\Request $request
     * @return \Illuminate\Http\RedirectResponse
     */
    public function store(Request $request) {
        // 1. バリデーション (入力チェック)
        $validated = $request−>validate([
            'title' => 'required|max:255', // 必須で最大255文字
            'body'  => 'required'          // 必須
        ]);

        // 2. データ保存 (Eloquent ORMのcreateメソッドを利用)
        Article::create($validated);

        // Article::create([
        //     'title' => $request−>title,
        //     'body'  => $request−>body
        // ]);
        // ↑ $validatedの配列を渡すことで、コードがよりDRYになります。

        // 3. 処理完了後、リダイレクトとフラッシュメッセージの設定
        return redirect()−>route('articles.index')
                         −>with('success', '新しい記事を正常に投稿しました！');
    }
}

処理ロジックの重要な解説

storeメソッドには、データ登録のセキュリティと効率を高めるLaravelの強力な機能が凝縮されています。

🚀 $request−>validate([...]) によるバリデーション

ここでのvalidateメソッドの呼び出しは、フォームデータがLaravelの定めるルール（requiredやmax:255など）を満たしているかを厳密にチェックします。 もしチェックに失敗した場合、Laravelは自動的に元のフォーム画面に戻し、エラーメッセージとold()で前回入力を復元してくれます。開発者が手動でif文を書く必要がない、非常に便利な仕組みです。 また、このメソッドはバリデーションを通過した安全なデータのみを配列（$validated）で返してくれるため、後続のデータ保存処理をシンプルかつセキュアに保てます。

💾 Article::create($validated) によるデータ保存

チェック済みの安全なデータ配列（$validated）を、モデル（Article）の静的メソッドcreate()に渡すだけで、データはデータベースに保存されます。 この簡潔な書き方を実現するためには、事前にArticleモデルに「マスアサインメント保護」の例外設定（$fillableプロパティの設定）が必要となります。

↪️ redirect()−>route(...)−>with(...) によるリダイレクト

データ登録のようなPOSTリクエストの処理後には、必ずGETリクエストでアクセスできるページにリダイレクトするのがWeb開発の鉄則です（PRGパターン）。 これは、ユーザーが誤ってページをリロードした際に、データが二重登録されるのを防ぐためです。−>with('success', ...)は、一度だけ表示されるフラッシュメッセージをセッションに保存し、リダイレクト先のページで「投稿が成功した」ことをユーザーに通知するために使われます。

ルーティングを設定する：フォームとコントローラーを繋ぐ交通整理

コントローラーの準備ができたら、次はルーティング（経路設定）の出番です。ルーティングは、ユーザーがアクセスしたURLとHTTPメソッド（GET、POSTなど）を判断し、どのコントローラーのどのメソッドに処理を渡すかを決定するアプリケーションの玄関口です。 フォームからのデータ登録では、「表示用」と「処理用」の2つのルートをセットで定義するのが基本です。

これらのルートは、すべてroutes/web.phpファイルに記述します。Laravelでは、モダンなPHPの書き方として、コントローラーをクラス名で指定する方法（配列記法）が推奨されています。

実践コード：データ登録に必要な2つのルート

<?php
use App\Http\Controllers\ArticleController;
use Illuminate\Support\Facades\Route;

// 1. フォームの表示用ルート (GETリクエスト)
// URL: /articles/create
// 目的: ユーザーに空のフォームを見せる
Route::get('/articles/create', [ArticleController::class, 'create'])−>name('articles.create');

// 2. データの保存用ルート (POSTリクエスト)
// URL: /articles
// 目的: フォームから送信されたデータを受け取り、データベースに保存する
Route::post('/articles', [ArticleController::class, 'store'])−>name('articles.store');

// 3. 処理後にリダイレクトするための記事一覧ルート (参考)
// URL: /articles
// 目的: 記事の一覧を表示する
Route::get('/articles', [ArticleController::class, 'index'])−>name('articles.index');

ルーティング設定の重要ポイント：GETとPOSTの使い分け

初心者の方が必ず理解すべきなのが、このHTTPメソッドの使い分けです。

• `Route::get(…)` （GETメソッド）:
  • データ取得（表示）のためのメソッドです。
  • フォームを表示するページ（/articles/create）のように、データを取得したり画面を表示したりする目的に使います。URLにアクセスする際のデフォルトのメソッドです。
• `Route::post(…)` （POSTメソッド）:
  • データの作成・送信のためのメソッドです。
  • フォームに入力されたデータをサーバーへ送り、データベースに書き込む目的に使います。ブラウザのアドレスバーに直接入力してアクセスすることはできません。

フォームの action 属性とルーティングの対応

Bladeで作成したフォームのaction属性とmethod属性が、ここで定義したルートと正確に対応していることが重要です。

<form action="{{ route('articles.store') }}" method="POST">
    <?php // ... フォームの中身 ... ?>
</form>

このフォームが送信されると、Laravelは以下の流れで処理を行います。

1. フォームがPOSTメソッドでarticles.storeルート（URLは通常/articles）にデータを送信する。
2. ルーティング（routes/web.php）がPOST /articlesの定義を探す。
3. ArticleControllerのstoreメソッドが実行され、データ処理が開始される。

この2つのルート（GET: create と POST: store）を正しく設定することで、ユーザーは安全かつ効率的にデータを登録できるようになります。

バリデーションを理解する：データの安全性と信頼性を守る門番

> フォームからデータを受け取ったコントローラーの次の仕事は、そのデータが「信頼できるか」「必要な形式を満たしているか」をチェックすることです。このチェック作業をバリデーション（Validation）と呼びます。 Laravelのバリデーション機能は非常に強力かつシンプルで、適切に設定するだけで、アプリケーションのセキュリティとデータの品質が飛躍的に向上します。

なぜバリデーションは必須なのか？

「ユーザーが変なデータを送ってこなければ大丈夫では？」と思うかもしれませんが、Webアプリケーションでは常に悪意のある攻撃や、予期せぬ入力ミスが存在します。 バリデーションは、データベースに無効なデータ（例：タイトルが空、メールアドレス形式ではない文字列）が書き込まれるのを防ぎ、システムが予期せぬエラーで停止するのを防ぐための最初の防衛線となります。 「ユーザーから送られてきたデータは、決して信用してはいけない」というWeb開発の鉄則を忘れずに、必ずサーバー側でバリデーションを行いましょう。

バリデーションの魔法：$request->validate() の仕組み

コントローラーのstoreメソッド内で使用した$request->validate()メソッドは、Laravelが提供するバリデーションの核となる機能です。

<?php
    // ArticleController.php の store メソッド内
    $validated = $request−>validate([
        'title' => 'required|max:255', // ここにルールを定義
        'body'  => 'required'
    ]);
?>

• 成功時: 定義したすべてのルールをクリアした場合、Laravelはバリデーションを通過した安全なデータのみを配列（$validated）として返します。
• 失敗時: ルールに違反するデータがあった場合、Laravelは自動的に例外を発生させ、以下の処理を行います。
  1. リクエストを元のフォーム画面にリダイレクトします。
  2. エラーメッセージをセッションに自動的に保存します。
  3. 以前の入力値（old()で取得できるデータ）を自動的にセッションに保存します。
  これにより、開発者は煩雑なエラー処理コードを書くことなく、ユーザーにスムーズにフィードバックできます。

よく使うバリデーションルール実例集

バリデーションルールは、パイプ記号（`|`）で区切って複数指定できます。以下は、特にフォームで頻繁に利用される基本的なルールです。

• 'title' => 'required|max:255'

  必須（required）であり、かつ最大文字数が255文字（max:255）であることを指定します。当社の記事投稿フォームではタイトルに適用しました。

• 'email' => 'required|email|unique:users'

  メールアドレスは必須で（required）、メールアドレスの書式（email）である必要があり、さらにusersテーブル内で重複がないこと（unique:users）もチェックできます。

• 'password' => 'required|min:8|confirmed'

  パスワードは必須で（required）、最低文字数が8文字（min:8）であることを指定します。さらに、確認用フィールド（例: password_confirmation）の値と一致すること（confirmed）をチェックします。

• 'image' => 'nullable|image|max:2048'

  このフィールドは入力が任意（nullable）ですが、もし入力された場合は、画像ファイルであること（image）と、最大サイズが2048KB（2MB）まで（max:2048）であることを指定します。

まとめ：フォーム実装はLaravel開発の第一歩！

この記事を通じて、LaravelのWebアプリケーション開発で最も重要な機能の一つ、「フォームを通じたデータの登録と表示」の全工程をマスターしました。初心者や若手エンジニアにとって、この一連の流れを自分の手で完成させたことは、大きな自信につながるはずです。

もう一度、データがユーザーの手からデータベース、そして再び画面に戻ってくるまでの堅牢な流れを確認しましょう。

• 入力 (Blade): ユーザーインターフェースとしてのフォームを作成し、@csrfとold()でセキュリティと利便性を確保しました。
• 経路 (Routing): GET（表示）とPOST（処理）というHTTPのルールに基づき、コントローラーのアクションへ正確に導く交通整理を行いました。
• 防御 (Validation): サーバー側でデータを厳密にチェックし、信頼性の低いデータがデータベースに入るのを防ぎました。
• 永続化 (Eloquent): 安全なデータのみをEloquent ORMを使ってデータベースに保存しました。
• フィードバック (Index): データの保存後、PRGパターン（Post-Redirect-Get）に基づき一覧画面にリダイレクトし、フラッシュメッセージで操作の成功を通知しました。

応用範囲は無限大！次のステップへ

今回学んだ「CRUDのC（Create）とR（Read）の基本」は、Laravelアプリケーションのすべての機能の土台となります。ユーザー登録、コメント投稿、設定変更、商品登録—これらすべては、今回実装したフォーム処理の応用でしかありません。 この基礎スキルを武器にすれば、あなたはどんな機能要求にも自信を持って対応できるようになるでしょう。