go 压缩需组合使用:gzip 仅压缩单文件,多文件或目录必须搭配 tar 或 zip;close() 必须显式调用,路径需标准化防遍历,嵌套顺序不可颠倒。

Go 标准库的 compress/gzip 只能压缩单个文件,不能打包目录;要压缩多个文件或保留路径结构,必须搭配 archive/tar —— 这是绝大多数人一开始踩坑的根源。
gzip 压缩单个文件:Close() 必须显式调用,否则生成的 .gz 文件损坏
很多人写完 io.Copy(gzWriter, src) 就以为完事了,结果生成的 .gz 文件用 gunzip -t 检查报 unexpected end of file。这是因为 gzip.Writer 内部有缓冲,且必须写入 CRC 和 ISIZE 尾部数据,而这些只在 Close() 时触发。
-
defer gzWriter.Close()是安全写法,但要注意它在函数 return 后才执行 —— 若中间 panic 或提前 return,可能漏掉 - 不要用
os.Open直接读.gz文件内容,那只是二进制流;解压必须用gzip.NewReader() - 压缩级别可选:
gzip.NoCompression(快)、gzip.BestSpeed(推荐日志)、gzip.DefaultCompression(通用)
zip 打包多个文件:路径必须转为正斜杠,且 zw.Close() 不可省略
archive/zip 支持多文件+目录打包,但不自动递归遍历 —— 你得自己用 filepath.Walk 处理。更关键的是,ZIP 规范要求内部路径用 / 分隔,Windows 上的 \ 会导致某些解压工具(如 macOS 归档实用工具)识别失败。
- 对每个文件调用
zip.FileInfoHeader(info)后,务必设置header.Method = zip.Deflate,否则默认不压缩 - 写入前用
filepath.ToSlash(relPath)标准化路径,比如"sub\file.txt"→"sub/file.txt" -
zw.Close()必须调用,它会写入 ZIP 中央目录区,缺了就不是合法 ZIP 文件
解压 ZIP 时最常被忽略的安全校验:防 ../ 路径遍历
直接把 file.Name 拼到目标目录下?危险。攻击者构造的 ZIP 里可能含 "../../etc/passwd" 这类路径,一解压就覆盖系统文件。
立即学习“go语言免费学习笔记(深入)”;
- 先做
cleanPath := filepath.Clean(file.Name) - 再检查:
if cleanPath != file.Name || strings.HasPrefix(cleanPath, "..")→ 跳过该条目 - 创建文件前,先
os.MkdirAll(filepath.Dir(dstPath), 0755)确保父目录存在 - 目录条目需显式判断:
if file.IsDir() { os.MkdirAll(...); continue },别试图往目录里io.Copy
tar.gz 的正确打开方式:两层 Reader/Writer 嵌套顺序不能反
tar 不压缩,gzip 不打包 —— 它们职责分明。tar.gz 是先 tar 打包成流,再套 gzip 压缩。解压时顺序反过来:先 gzip.NewReader,再传给 tar.NewReader。
- 错误做法:
tar.NewReader(gzipFile)——gzipFile是未解压的原始句柄,tar.NewReader会直接解析乱码 - 正确嵌套:
gr := gzip.NewReader(f); tr := tar.NewReader(gr) - 读每个文件时,必须严格按
hdr.Size读取:io.CopyN(outFile, tr, hdr.Size),不能读到io.EOF,否则下一个tr.Next()会错位
真正麻烦的从来不是“怎么写”,而是“怎么不出错”:路径标准化、资源关闭时机、安全过滤、嵌套层级顺序 —— 这些细节没处理好,压缩包要么打不开,要么悄悄删掉你家 /etc。










