http.FileServer 无法处理文件上传,需显式调用 r.ParseMultipartForm(32
Go 的 http.FileServer 不能直接处理上传,得用 ParseMultipartForm
很多人一开始以为 http.FileServer 能接表单文件,结果发现 r.FormFile 返回 nil 或报 http: no such file。根本原因是:默认请求体没解析 multipart 数据。必须显式调用 r.ParseMultipartForm,否则 FormFile、FormValue 都拿不到内容。
常见错误写法:
func uploadHandler(w http.ResponseWriter, r *http.Request) {
file, _, err := r.FormFile("file") // 这里会失败
}
- 必须在
r.FormFile前调用r.ParseMultipartForm(32 (32MB 内存上限) - 如果表单含中文文件名,注意 Go 1.19+ 默认用
RFC 7578编码,但部分老浏览器仍发RFC 2388,建议统一用filepath.Base提取原始文件名 - 不设内存上限(传
0)会导致全部文件读进内存,大文件直接 OOM
保存文件前务必校验 Content-Type 和后缀,别只信 filename
攻击者可轻易伪造表单里的 filename="x.jpg",但实际上传 shell.php。仅靠后缀或 filepath.Ext 判断极不安全。
- 用
file.Header.Header.Get("Content-Type")获取客户端声明的类型(可被篡改,仅作参考) - 更可靠的是用
http.DetectContentType读取文件头几个字节判断真实类型 - 白名单控制:只允许
image/jpeg、image/png等,拒绝application/x-php、text/html - 保存时重命名文件(如
uuid.New().String() + ".jpg"),彻底丢弃原始filename
用 os.Create 保存前要确保目录存在,且权限可控
直接 os.Create("./uploads/xxx.jpg") 在目录不存在时会 panic。而用 os.MkdirAll 创建后若权限过大(如 0777),可能被 Web 服务器直接解析执行(尤其当 uploads 目录被 Nginx 映射为静态路径时)。
- 创建目录用
os.MkdirAll("./uploads", 0755)—— 0755 表示 owner 可读写执行,group/other 只读执行 - 保存文件时用
os.O_CREATE | os.O_WRONLY | os.O_TRUNC,避免追加写入污染 - 别把上传目录放在
./static或 Web 根目录下;建议独立路径如/var/uploads/appname/,并通过反向代理限制访问
前端 enctype="multipart/form-data"
这是最常被漏掉的 HTML 属性。没有它,浏览器会以 application/x-www-form-urlencoded 发送,服务端连 multipart boundary 都收不到,ParseMultipartForm 会静默失败或返回空值。
部分功能简介:商品收藏夹功能热门商品最新商品分级价格功能自选风格打印结算页面内部短信箱商品评论增加上一商品,下一商品功能增强商家提示功能友情链接用户在线统计用户来访统计用户来访信息用户积分功能广告设置用户组分类邮件系统后台实现更新用户数据系统图片设置模板管理CSS风格管理申诉内容过滤功能用户注册过滤特征字符IP库管理及来访限制及管理压缩,恢复,备份数据库功能上传文件管理商品类别管理商品添加/修改/
立即学习“go语言免费学习笔记(深入)”;
正确写法:
-
name="file"必须和 Go 中r.FormFile("file")的参数完全一致,区分大小写 - 如需多文件,用
name="files"+multiple,后端用r.MultipartReader()循环读取 - 大文件建议加
fetch+FormData控制上传进度,而非纯表单提交
真正麻烦的不是读文件,而是边界条件:空文件、超长文件名、嵌套路径(../../../etc/passwd)、并发写同一目录、磁盘满、临时目录不可写……这些不提前检查,上线后第一波上传就挂。
