必须先调用 r.ParseMultipartForm(maxMemory) 再用 r.FormFile(),否则报错;需设超时、限流、路径净化、类型校验、大小控制及临时文件清理。
如何用 http.HandleFunc 正确接收 multipart/form-data 文件
Go 标准库不自动解析 multipart 表单,必须显式调用 r.ParseMultipartForm,否则 r.MultipartReader() 或 r.FormFile() 会返回 http.ErrNotMultipart 或空文件。常见错误是跳过这步,直接调用 r.FormFile("file") 却拿不到内容。
- 务必在读取文件前调用
r.ParseMultipartForm(32 (如限制 32MB 内存缓冲) - 若表单含大量文本字段,该步骤也会把它们加载进
r.PostForm,注意内存占用 - 若只处理文件、不关心其他字段,可改用
r.MultipartReader()流式读取,绕过内存缓冲限制
用 r.FormFile 提取文件并保存到磁盘的典型流程
r.FormFile 返回 *multipart.FileHeader,它不包含文件内容,只是元信息;真正读取需用 header.Open() 得到 io.ReadCloser,再写入目标文件。
-
file, header, err := r.FormFile("upload")中"upload"必须与 HTML 表单中的name属性完全一致 -
header.Size是文件大小(字节),可用于拦截超大文件,避免打开后才发现太大 - 保存时建议用
os.CreateTemp生成唯一临时路径,再os.Rename覆盖目标,防止并发写入冲突
file, header, err := r.FormFile("upload")
if err != nil {
http.Error(w, "无法获取文件", http.StatusBadRequest)
return
}
defer file.Close()
dst, err := os.Create("/var/uploads/" + header.Filename)
if err != nil {
http.Error(w, "无法创建目标文件", http.StatusInternalServerError)
return
}
defer dst.Close()
if _, err := io.Copy(dst, file); err != nil {
http.Error(w, "保存失败", http.StatusInternalServerError)
return
}
为什么 filepath.Clean 和校验 header.Filename 不可省略
攻击者可伪造 Filename 为 ../../etc/passwd 等路径,直接拼接会导致任意文件写入。标准库不会自动清理或拒绝这类名字。
- 必须用
filepath.Base(header.Filename)或filepath.Clean截断路径遍历部分 - 建议额外校验扩展名(如只允许
.jpg,.pdf),用strings.HasSuffix而非简单后缀截取,防绕过 - 不要依赖
header.Header.Get("Content-Type")做类型判断——它由客户端提供,完全不可信
上传大文件时如何避免阻塞和 OOM
默认 ParseMultipartForm 将整个文件载入内存或临时磁盘,对大文件(>100MB)易触发超时或内存溢出。应主动控制流式处理边界。
立即学习“go语言免费学习笔记(深入)”;
- 设置
http.Server.ReadTimeout和WriteTimeout,防止慢速上传长期占连接 - 用
io.LimitReader(file, maxFileSize)包裹原始文件句柄,超限时中断写入 - 生产环境建议搭配 Nginx 做前置上传限制(
client_max_body_size)和静态文件服务,Go 后端只处理校验与元数据
文件上传真正的复杂点不在接收,而在安全落地:路径净化、类型校验、大小控制、临时文件清理、并发写保护,每一步漏掉都可能变成漏洞入口。
