Go处理文件上传需调用r.ParseMultipartForm设置内存阈值(如32MB),超阈值部分暂存磁盘,再通过r.MultipartForm.File和file.Open读取内容。
在 Go 中处理文件上传,核心是解析 HTTP multipart 表单(multipart/form-data),这由标准库 net/http 和 mime/multipart 原生支持,无需第三方依赖。关键在于正确调用 r.ParseMultipartForm,然后通过 r.MultipartForm.File 获取文件头,再用 file.Open() 读取内容。
Go 默认不对 multipart 表单做内存/磁盘限制,大文件可能耗尽内存或填满临时目录。必须显式调用 ParseMultipartForm 并传入最大内存阈值(单位字节):
os.TempDir())r.MultipartForm 前调用,否则会 panic解析成功后,通过字段名(HTML 表单中 的 name 属性)获取文件切片,每个文件对应一个 *multipart.FileHeader:
fileHeader.Size 防止空文件或超限fileHeader.Open() 得到 multipart.File(本质是 io.ReadCloser)os.Create 创建目标文件,再用 io.Copy 流式写入,避免全量加载到内存src.Close() 和 dst.Close()
用户提交的 fileHeader.Filename 不可信,直接拼接可能导致路径遍历(如 ../../etc/passwd)或非法字符问题:
path.Base 提取基础文件名,丢弃所有路径信息os.MkdirAll),并确认进程有写权限注意:生产环境应加鉴权、类型校验(fileHeader.Header.Get("Content-Type"))、大小限制、超时控制等
func uploadHandler(w http.ResponseWriter, r *http.Request) {
if r.Method != "POST" {
http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
return
}
// 设置最大内存为 32MB,超过部分写入临时磁盘
err := r.ParseMultipartForm(32 << 20)
if err != nil {
http.Error(w, "Unable to parse form", http.StatusBadRequest)
return
}
// 获取名为 "avatar" 的文件列表
files := r.MultipartForm.File["avatar"]
if len(files) == 0 {
http.Error(w, "No file uploaded", http.StatusBadRequest)
return
}
fileHeader := files[0]
if fileHeader.Size == 0 {
http.Error(w, "Empty file", http.StatusBadRequest)
return
}
// 安全提取文件名
filename := path.Base(fileHeader.Filename)
ext := path.Ext(filename)
safeName := fmt.Sprintf("%s%s", uuid.New().String(), ext)
dst, err := os.Create("./uploads/" + safeName)
if err != nil {
http.Error(w, "Cannot create file", http.StatusInternalServerError)
return
}
defer dst.Close()
src, err := fileHeader.Open()
if err != nil {
http.Error(w, "Cannot open uploaded file", http.StatusInternalServerError)
return
}
defer src.Close()
if _, err := io.Copy(dst, src); err != nil {
http.Error(w, "Failed to save file", http.StatusInternalServerError)
return
}
w.WriteHeader(http.StatusOK)
json.NewEncoder(w).Encode(map[string]string{"filename": safeName})
}
http.Error(w, "Unable to parse form", http.StatusBadRequest)
return
}
// 获取名为 "avatar" 的文件列表
files := r.MultipartForm.File["avatar"]
if len(files) == 0 {
http.Error(w, "No file uploaded", http.StatusBadRequest)
return
}
fileHeader := files[0]
if fileHeader.Size == 0 {
http.Error(w, "Empty file", http.StatusBadRequest)
return
}
// 安全提取文件名
filename := path.Base(fileHeader.Filename)
ext := path.Ext(filename)
safeName := fmt.Sprintf("%s%s", uuid.New().String(), ext)
dst, err := os.Create("./uploads/" + safeName)
if err != nil {
http.Error(w, "Cannot create file", http.StatusInternalServerError)
return
}
defer dst.Close()
src, err := fileHeader.Open()
if err != nil {
http.Error(w, "Cannot open uploaded file", http.StatusInternalServerError)
return
}
defer src.Close()
if _, err := io.Copy(dst, src); err != nil {
http.Error(w, "Failed to save file", http.StatusInternalServerError)
return
}
w.WriteHeader(http.StatusOK)
json.NewEncoder(w).Encode(map[string]string{"filename": safeName})
}