Go中实现文件上传需用net/http和mime/multipart处理multipart/form-data请求:前端设enctype="multipart/form-data",后端用r.FormFile解析、校验大小、净化文件名、安全保存,并注意超时与内存控制。
在 Go 中实现文件上传,核心是处理 multipart/form-data 类型的 HTTP 请求,利用标准库 net/http 和 mime/multipart 即可完成,无需第三方依赖。
1. 前端表单需正确设置 enctype
HTML 表单必须显式指定 enctype="multipart/form-data",否则浏览器不会以多部分格式编码文件数据:
注意:name="file" 的值将用于后端读取对应文件字段(即 r.FormFile("file") 中的键名)。
2. 后端解析 multipart 请求并保存文件
Go 的 http.Request 提供了 FormFile 方法,能直接获取文件头和内容流。关键步骤包括:解析表单、校验文件、安全重命名、写入磁盘。
立即学习“go语言免费学习笔记(深入)”;
示例服务端代码:
func uploadHandler(w http.ResponseWriter, r *http.Request) {
if r.Method != "POST" {
http.Error(w, "仅支持 POST", http.StatusMethodNotAllowed)
return
}
// 解析 multipart 表单(会自动调用 ParseMultipartForm)
file, header, err := r.FormFile("file")
if err != nil {
http.Error(w, "读取文件失败: "+err.Error(), http.StatusBadRequest)
return
}
defer file.Close()
// 简单校验文件大小(例如限制 10MB)
if header.Size > 10*1024*1024 {
http.Error(w, "文件过大(最大 10MB)", http.StatusBadRequest)
return
}
// 安全地生成保存路径(避免路径遍历)
filename := filepath.Base(header.Filename)
dstPath := filepath.Join("uploads", filename)
// 创建 uploads 目录(如果不存在)
if err := os.MkdirAll("uploads", 0755); err != nil {
http.Error(w, "创建目录失败", http.StatusInternalServerError)
return
}
// 写入文件
dst, err := os.Create(dstPath)
if err != nil {
http.Error(w, "无法创建目标文件", http.StatusInternalServerError)
return
}
defer dst.Close()
if _, err := io.Copy(dst, file); err != nil {
http.Error(w, "保存文件失败", http.StatusInternalServerError)
return
}
w.WriteHeader(http.StatusOK)
w.Write([]byte("上传成功:" + filename))
}
-
ParseMultipartForm 自动触发:调用
r.FormFile时,Go 会自动调用r.ParseMultipartForm(默认内存阈值 32MB),你无需手动调用。 -
文件名需净化:使用
filepath.Base防止恶意路径如../../etc/passwd;生产环境建议用 UUID 或哈希重命名。 -
资源及时关闭:
file和dst都需defer Close(),避免句柄泄漏。
3. 处理多个文件或额外表单字段
若表单含多个文件或普通字段(如 ),可用以下方式:
- 多个同名文件:
r.MultipartReader()手动遍历multipart.Part,按part.Header.Get("Content-Disposition")匹配name="file"。 - 普通字段:
r.FormValue("title")可直接获取文本字段,前提是已调用过ParseMultipartForm(FormFile已隐式触发)。 - 混合字段示例:
r.PostForm在解析后包含所有非文件字段的键值对。
4. 生产环境注意事项
-
超时控制:为大文件上传设置合理的
http.Server.ReadTimeout和WriteTimeout。 -
内存限制:通过
r.ParseMultipartForm(maxMemory)显式设小内存阈值(如 32 -
文件类型校验:不要只信
header.Header.Get("Content-Type")(易伪造),应读取文件前几个字节比对 magic number。 - 权限与存储:上传目录不应在 Web 根目录下,避免直接访问;敏感服务建议存至对象存储(如 S3),而非本地磁盘。
