Golang文件上传下载功能实现实践

首先解析multipart表单限制内存使用，再获取文件句柄并校验文件大小类型等安全信息，最后通过io.Copy将文件写入磁盘实现安全上传。

在Go语言开发中，文件上传下载是Web服务常见的功能需求，比如用户头像上传、附件管理、资源分发等场景。Golang标准库提供了足够强大的支持，结合net/http和os等包，可以轻松实现安全、高效的文件操作。

处理文件上传

文件上传通常通过HTTP的POST请求配合表单（enctype="multipart/form-data"）完成。Go的http.Request提供了ParseMultipartForm方法来解析这类请求。

关键步骤包括：

• 调用r.ParseMultipartForm(maxMemory)解析请求体，maxMemory指定内存缓存大小，超出部分会暂存到临时文件
• 通过r.MultipartForm.File获取文件句柄，字段名为HTML表单中的name属性
• 使用formFile.Open()得到一个multipart.File，它实现了io.Reader接口
• 创建目标路径的文件，使用io.Copy将上传内容写入磁盘

建议对上传文件做基本校验：如大小限制、文件类型白名单、防止路径遍历攻击（如检查文件名是否包含../）。

立即学习“go语言免费学习笔记（深入）”；

I-Shop购物系统

部分功能简介：商品收藏夹功能热门商品最新商品分级价格功能自选风格打印结算页面内部短信箱商品评论增加上一商品，下一商品功能增强商家提示功能友情链接用户在线统计用户来访统计用户来访信息用户积分功能广告设置用户组分类邮件系统后台实现更新用户数据系统图片设置模板管理CSS风格管理申诉内容过滤功能用户注册过滤特征字符IP库管理及来访限制及管理压缩，恢复，备份数据库功能上传文件管理商品类别管理商品添加/修改/

下载

func uploadHandler(w http.ResponseWriter, r *http.Request) {
    if r.Method != "POST" {
        http.Error(w, "仅支持POST", http.StatusMethodNotAllowed)
        return
    }

    // 解析 multipart 表单，最大内存 32MB
    err := r.ParseMultipartForm(32 << 20)
    if err != nil {
        http.Error(w, "解析失败", http.StatusBadRequest)
        return
    }

    file, handler, err := r.FormFile("uploadFile")
    if err != nil {
        http.Error(w, "获取文件失败", http.StatusBadRequest)
        return
    }
    defer file.Close()

    // 安全检查文件名
    filename := filepath.Base(handler.Filename)
    dst, err := os.Create("./uploads/" + filename)
    if err != nil {
        http.Error(w, "创建文件失败", http.StatusInternalServerError)
        return
    }
    defer dst.Close()

    _, err = io.Copy(dst, file)
    if err != nil {
        http.Error(w, "保存文件失败", http.StatusInternalServerError)
        return
    }

    fmt.Fprintf(w, "文件 %s 上传成功", filename)
}

实现文件下载

文件下载的核心是设置正确的响应头，让浏览器识别为“附件”并触发下载行为。

主要控制点：

• 设置Content-Disposition为attachment; filename="xxx"，指定下载时的文件名
• 设置Content-Type为application/octet-stream或根据文件类型动态判断
• 读取本地文件内容，通过io.Copy写入响应体

注意对路径参数做校验，避免恶意请求访问系统敏感文件（如/etc/passwd）。可使用白名单目录限制或规范化路径后比对前缀。

func downloadHandler(w http.ResponseWriter, r *http.Request) {
    filename := r.URL.Query().Get("file")
    if filename == "" {
        http.Error(w, "缺少文件名", http.StatusBadRequest)
        return
    }

    // 防止路径穿越
    filepath := "./uploads/" + path.Clean(filename)
    if !strings.HasPrefix(filepath, "./uploads/") {
        http.Error(w, "非法路径", http.StatusForbidden)
        return
    }

    _, err := os.Stat(filepath)
    if os.IsNotExist(err) {
        http.Error(w, "文件不存在", http.StatusNotFound)
        return
    }

    w.Header().Set("Content-Disposition", "attachment; filename="+filename)
    w.Header().Set("Content-Type", "application/octet-stream")

    http.ServeFile(w, r, filepath)
}

优化与安全建议

实际项目中还需考虑性能和安全性：

• 大文件上传可结合分块上传和断点续传机制，前端分片，后端合并
• 使用UUID重命名文件，避免重名覆盖和信息泄露
• 限制上传文件大小，在ParseMultipartForm中设定阈值
• 扫描上传文件是否含恶意内容（如集成防病毒服务）
• 静态资源可交由Nginx等反向代理处理，减轻Go服务压力