Go语言通过net/http包统一处理HTTP表单:GET参数用r.ParseForm()后r.FormValue获取;POST标准表单同理;文件上传需r.ParseMultipartForm()或r.MultipartReader()。
Go语言通过net/http包原生支持HTTP请求处理,解析表单数据非常直接。关键在于区分GET和POST的参数来源:GET参数在URL查询字符串中,POST表单数据通常在请求体中(application/x-www-form-urlencoded或multipart/form-data),而Go统一用ParseForm()预处理后,都可通过Request.FormValue或Request.Form安全获取。
GET请求:从URL查询参数中提取数据
GET请求的参数附加在URL末尾(如/search?q=go&lang=zh),无需调用ParseForm()即可读取,但显式调用更稳妥,尤其当URL含编码字符时。
- 使用
r.URL.Query().Get("key")可直接获取未解码的原始值(不推荐用于表单场景) - 更推荐先调用
r.ParseForm(),再用r.FormValue("key")——它自动解码URL编码,且对GET/POST一视同仁 - 若需获取同名多个值(如复选框),用
r.Form["key"]返回[]string,注意判空
POST表单(application/x-www-form-urlencoded):标准表单提交
HTML表单默认以application/x-www-form-urlencoded格式提交,Go会自动识别并解析其内容,但必须先调用r.ParseForm(),否则Form字段为空。
-
r.ParseForm()应在读取r.PostForm或r.FormValue前调用一次,多次调用无副作用 -
r.FormValue("username")返回第一个匹配值(适合单值字段),内部已处理空值和编码 -
r.PostFormValue("password")等价于r.FormValue,但只读取POST部分(对GET请求无效) - 若表单含文件上传,此类型不适用,需改用
multipart/form-data
POST文件上传(multipart/form-data):同时处理文本与文件
当表单设置enctype="multipart/form-data"时,ParseForm()无法解析文件字段,必须用ParseMultipartForm()或直接调用r.MultipartReader()。
立即学习“go语言免费学习笔记(深入)”;
- 调用
r.ParseMultipartForm(32 (如32MB内存限制)后,普通字段仍可用r.FormValue()获取 - 文件字段需用
r.FormFile("avatar")获取*multipart.FileHeader,再用header.Open()读取内容 - 注意检查错误:
http.ErrNotMultipart表示非multipart请求,http.ErrMissingFile表示字段不存在
安全与健壮性建议
实际开发中不能假设参数一定存在或格式正确,需主动校验:
- 用
strings.TrimSpace(r.FormValue("email"))去除首尾空格再验证 - 对数字参数用
strconv.Atoi转换,并检查错误,避免panic - 敏感操作(如登录、支付)务必校验CSRF token,可用
gorilla/csrf等库辅助 - 避免直接拼接用户输入到SQL或HTML中,始终使用参数化查询和模板自动转义
