必须先调用 ParseForm 才能读取表单值;r.FormValue("xxx") 返回空字符串的根本原因是未显式调用 r.ParseForm() 或 r.ParseMultipartForm(),而 HTTP 请求体仅可读取一次。
Go 的 http.Request 本身不自动解析表单,必须显式调用 r.ParseForm() 或 r.ParseMultipartForm() 才能访问 r.Form 和 r.PostForm。漏掉这一步,r.FormValue("xxx") 永远返回空字符串。
必须先调用 ParseForm 才能读取表单值
很多初学者直接写 r.FormValue("email") 却收不到数据,根本原因是没触发解析。HTTP 请求体只读取一次,错过就无法重试。
-
r.ParseForm()适用于普通application/x-www-form-urlencoded表单(最常见) -
r.ParseMultipartForm(maxMemory)必须在处理含文件上传的multipart/form-data时调用,且需指定内存阈值(如32 ) - 如果同时支持两种类型,建议统一用
r.ParseMultipartForm(32 —— 它对纯文本表单也兼容 - 调用后才能安全使用
r.FormValue("name")、r.PostFormValue("password")等方法
验证逻辑应与路由处理分离
把校验硬编码在 handler 里会导致难以复用、测试困难、错误提示耦合 HTML 渲染。推荐封装成独立函数,返回结构化错误。
网趣网上购物系统旗舰版
下载
网趣网上购物系统支持PC电脑版+手机版+APP,数据一站式更新,支持微信支付与支付宝支付接口,是专业的网上商城系统,网趣商城系统支持淘宝数据包导入,实现与淘宝同步更新!支持上传图片水印设置、图片批量上传功能,同时支持订单二次编辑以及多级分类隐藏等实用功能,新版增加商品大图浏览与列表显示功能,使分类浏览更方便,支持最新的支付宝即时到帐接口。
type FormError struct {
Field string
Msg string
}
func ValidateLoginForm(r *http.Request) []FormError {
r.ParseMultipartForm(32 << 20)
email := r.FormValue("email")
password := r.FormValue("password")
var errs []FormError
if email == "" {
errs = append(errs, FormError{Field: "email", Msg: "邮箱不能为空"})
} else if !strings.Contains(email, "@") {
errs = append(errs, FormError{Field: "email", Msg: "邮箱格式不正确"})
}
if len(password) < 6 {
errs = append(errs, FormError{Field: "password", Msg: "密码至少6位"})
}
return errs
}
- 避免在验证函数里调用
http.Error或写响应 —— 交给 handler 决定如何呈现错误 - 字段名(
"email")要和前端严格一致,区分大小写 - 正则校验邮箱请用
net/mail.ParseAddress而非简单@判断,更可靠
CSRF 防护不能靠“隐藏字段”手动实现
仅在表单中加一个 并在后端比对,是无效防护 —— 攻击者可先 GET 表单拿到 token 再伪造 POST。
- 必须使用服务端生成、绑定用户 session、带过期时间的 token(如
gorilla/csrf库) - token 需通过 HTTP-only cookie + 请求头(如
X-CSRF-Token)或同源表单 hidden 字段双重传递 - 验证必须在
ParseForm之后、业务逻辑之前执行,失败立即返回 403 - 不要把 token 存在 URL 或 localStorage 中,易被 XSS 泄露
表单接收的边界很窄,但验证和防护的深度容易被低估:解析时机、错误结构设计、CSRF 的 token 生命周期管理,三者任一出错,都会让看似完整的登录流程变成安全缺口。
