手动校验是Go中处理表单最轻量可控的方式,需先调用r.ParseForm(),空值用strings.TrimSpace判断,数字用strconv解析,邮箱用mail.ParseAddress验证。
用 net/http + 手动校验是最轻量且可控的方式
Go 标准库不内置表单验证逻辑,直接读取 r.FormValue("name") 后自行判断是最常见做法。这种方式没有额外依赖,适合简单表单或需要精细控制错误返回的场景。
注意:必须先调用 r.ParseForm(),否则 r.FormValue 返回空字符串;若表单含文件上传,应改用 r.ParseMultipartForm()。
- 空值检查用
strings.TrimSpace(val) == "",避免仅含空格被误认为有效 - 数字字段优先用
strconv.Atoi或strconv.ParseInt,别用int(val)强转(会 panic) - 邮箱格式建议用
mail.ParseAddress而非正则——它能处理带引号、加号别名等合法但复杂的地址
func loginHandler(w http.ResponseWriter, r *http.Request) {
if r.Method != "POST" {
http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
return
}
if err := r.ParseForm(); err != nil {
http.Error(w, "Invalid form data", http.StatusBadRequest)
return
}
email := strings.TrimSpace(r.FormValue("email"))
password := strings.TrimSpace(r.FormValue("password"))
if email == "" {
http.Error(w, "Email is required", http.StatusBadRequest)
return
}
if _, err := mail.ParseAddress(email); err != nil {
http.Error(w, "Invalid email format", http.StatusBadRequest)
return
}
if len(password) < 6 {
http.Error(w, "Password must be at least 6 characters", http.StatusBadRequest)
return
}
// 继续处理登录逻辑...
}
用 go-playground/validator 做结构体级声明式验证
当表单字段较多、嵌套或需复用规则时,把请求数据绑定到 struct 再用 validator 校验更清晰。它支持 tag 驱动(如 validate:"required,email"),也支持自定义函数。
注意:该库默认不校验零值(如 int 字段为 0 不触发 required),需显式加 omitempty 或用指针类型。
立即学习“go语言免费学习笔记(深入)”;
- 安装:
go get github.com/go-playground/validator/v10 - 绑定表单前务必调用
r.ParseForm(),否则Decoder.Decode()无法读取值 - 对
time.Time字段验证日期格式,需配合time_layouttag,例如validate:"required,time_layout:2006-01-02"
type SignupForm struct {
Email string `form:"email" validate:"required,email"`
Password string `form:"password" validate:"required,min=8"`
Age int `form:"age" validate:"required,gte=13,lte=120"`
}
func signupHandler(w http.ResponseWriter, r *http.Request) {
if err := r.ParseForm(); err != nil {
http.Error(w, "Parse form failed", http.StatusBadRequest)
return
}
var form SignupForm
if err := r.ParseForm(); err != nil {
http.Error(w, "Parse form failed", http.StatusBadRequest)
return
}
if err := decoder.Decode(&form, r.PostForm); err != nil {
http.Error(w, "Decode failed", http.StatusBadRequest)
return
}
validate := validator.New()
if err := validate.Struct(form); err != nil {
for _, e := range err.(validator.ValidationErrors) {
http.Error(w, e.Error(), http.StatusBadRequest)
return
}
}
// 验证通过
}
前端提交前用 required 和 type="email" 只是辅助,不能替代后端验证
HTML5 表单属性(如 required、type="email"、minlength)只在浏览器端生效,可被绕过。用户禁用 JS、用 curl 或 Postman 直接发请求时,这些限制完全无效。
-
type="number"并不阻止用户输入字母——它只是触发浏览器数字键盘,实际提交仍是字符串 - 前端正则(如
pattern)同样可被跳过,仅用于改善用户体验 - 敏感校验(如密码强度、用户名唯一性、权限检查)必须放在服务端,且应在事务中完成(例如查库+插入需同一事务)
验证失败时返回 JSON 还是重定向?取决于交互模式
纯 HTML 表单提交()应返回 http.Redirect 或渲染带错误信息的页面;AJAX 提交则统一返回 JSON 错误,由前端处理提示。
- 重定向时,错误信息需通过
flash message(如存 session)传递,否则 GET 请求无处携带 - 返回 JSON 时,状态码建议用
400 Bad Request,不要用200 OK包装错误字段 - 若同时支持两种方式(如 SPA + 降级 HTML),可在 header 检查
X-Requested-With: XMLHttpRequest或 content-type 判断
