Go语言通过ParseMultipartForm解析表单并设内存上限,再用FormFile按name获取文件,配合os.Create保存,需注意文件校验、路径安全与大文件处理。
Go语言处理Web表单文件上传非常直接,核心是用http.Request的ParseMultipartForm和FormFile方法,配合os.Create保存文件。关键点在于正确解析 multipart 数据、校验文件、避免内存溢出,并注意路径安全。
解析表单并获取上传文件
HTML 表单需设置 enctype="multipart/form-data",后端用 r.ParseMultipartForm 初始化解析(推荐设上限防止大文件占满内存),再用 r.FormFile 按 name 属性取文件:
r.ParseMultipartForm(32 表示最多读取 32MB 到内存(超出部分写入临时磁盘)-
file, header, err := r.FormFile("myfile")中"myfile"要与 HTML 的一致 -
header.Filename是客户端传来的原始文件名,不可直接拼接路径
安全保存文件(防路径遍历)
不能直接使用 header.Filename 构造本地路径,否则可能被构造为 ../../etc/passwd 等恶意路径。建议做法:
- 用
path.Base(header.Filename)提取纯文件名(去掉路径部分) - 生成唯一文件名(如用
uuid.New().String()+ 原扩展名),避免重名和覆盖 - 限定保存目录(如
"./uploads/"),用filepath.Join(uploadDir, safeName)拼接 - 检查扩展名是否在白名单中(如
[".jpg", ".png", ".pdf"])
完整处理示例(含错误处理)
一个简洁可靠的上传处理函数大致如下:
立即学习“go语言免费学习笔记(深入)”;
- 先调用
r.ParseMultipartForm,失败则返回 400 - 调用
r.FormFile获取文件句柄;若无文件或字段名错,返回 400 - 读取前几 KB 检查 MIME 类型(可选,增强安全性)
- 创建目标文件(
os.Create),用io.Copy流式写入,避免全加载进内存 - 关闭源文件和目标文件,返回成功响应或具体错误信息
前端配合要点
确保 HTML 表单结构正确:
-
(加multiple可多文件) - 如需额外字段(如标题、描述),用普通
,服务端通过r.FormValue("title")获取
基本上就这些。Golang 的文件上传不复杂但容易忽略校验和路径安全,把解析、命名、保存三步拆清楚,再加一点防御性处理,就能稳定可用。
