Go 可以使用标准库 net/http 和 mime/multipart 实现文件上传,首先通过 r.ParseMultipartForm(32
在 Web 开发中,文件上传是一个常见需求。Go(Golang)标准库提供了对
multipart/form-data请求的原生支持,可以方便地处理文件上传。下面介绍如何使用 Go 实现一个简单的文件上传接口,处理
multipart/form-data格式的请求。
1. 前端表单示例
首先,前端需要通过
multipart/form-data提交文件。HTML 表单如下:
注意
enctype="multipart/form-data"是必须的,否则后端无法正确解析文件内容。
2. 后端处理 multipart/form-data 请求
Go 的
net/http包和
mime/multipart包可以解析这种请求。以下是完整的服务端实现:
立即学习“go语言免费学习笔记(深入)”;
package main
import (
"fmt"
"io"
"net/http"
"os"
"path/filepath"
)
const uploadDir = "./uploads"
func uploadHandler(w http.ResponseWriter, r *http.Request) {
// 只允许 POST 请求
if r.Method != http.MethodPost {
http.Error(w, "仅支持 POST 请求", http.StatusMethodNotAllowed)
return
}
// 解析 multipart 表单,maxMemory 为 32MB
err := r.ParseMultipartForm(32 << 20)
if err != nil {
http.Error(w, "解析表单失败: "+err.Error(), http.StatusBadRequest)
return
}
// 获取名为 "file" 的文件字段
file, handler, err := r.FormFile("file")
if err != nil {
http.Error(w, "获取文件失败: "+err.Error(), http.StatusBadRequest)
return
}
defer file.Close()
// 创建上传目录
if _, err := os.Stat(uploadDir); os.IsNotExist(err) {
os.Mkdir(uploadDir, 0755)
}
// 构造保存路径(防止路径穿越)
filename := filepath.Base(handler.Filename)
dstPath := filepath.Join(uploadDir, filename)
// 创建目标文件
dst, err := os.Create(dstPath)
if err != nil {
http.Error(w, "创建文件失败: "+err.Error(), http.StatusInternalServerError)
return
}
defer dst.Close()
// 拷贝文件内容
_, err = io.Copy(dst, file)
if err != nil {
http.Error(w, "保存文件失败: "+err.Error(), http.StatusInternalServerError)
return
}
fmt.Fprintf(w, "文件上传成功: %s, 大小: %d bytes", handler.Filename, handler.Size)
}
func main() {
http.HandleFunc("/upload", uploadHandler)
fmt.Println("服务器启动在 http://localhost:8080")
if err := http.ListenAndServe(":8080", nil); err != nil {
fmt.Printf("启动服务器失败: %v\n", err)
}
}3. 关键点说明
✅ 正确解析 multipart 表单
r.ParseMultipartForm(32 << 20)
- 参数是最大内存缓存大小(32MB),超过此大小的文件部分将被暂存到磁盘。
- 即使不手动调用,
FormFile
也会自动触发解析,但显式调用可以更好地控制内存使用。
✅ 获取文件字段
file, handler, err := r.FormFile("file")file
是一个multipart.File
,实现了io.Reader
接口。handler
是*multipart.FileHeader
,包含文件名、大小等元信息。
✅ 安全性考虑
- 使用
filepath.Base()
防止路径穿越攻击(如../../../etc/passwd
)。 - 建议对文件名做进一步处理(如重命名、校验扩展名)以增强安全性。
✅ 支持多个文件上传
如果前端使用多个
name="files"的输入:
Go 中可以这样处理:
form, _ := r.MultipartForm
files := form.File["files"]
for _, f := range files {
src, _ := f.Open()
dst, _ := os.Create(filepath.Join(uploadDir, f.Filename))
io.Copy(dst, src)
src.Close()
dst.Close()
}4. 进阶建议
-
限制文件大小:在
ParseMultipartForm
中设置合理上限。 -
限制文件类型:通过 MIME 类型或文件头判断(如
http.DetectContentType
)。 - 重命名文件:避免冲突和恶意文件名,例如使用 UUID。
- 加锁或使用临时目录:高并发时注意文件写入安全。
基本上就这些。Go 的标准库已经足够强大,无需引入第三方框架即可实现稳定、安全的文件上传功能。
