Go处理文件上传需调用r.ParseMultipartForm设置内存阈值(如32MB),超阈值部分暂存磁盘,再通过r.MultipartForm.File和file.Open读取内容。
在 Go 中处理文件上传,核心是解析 HTTP multipart 表单(multipart/form-data),这由标准库 net/http 和 mime/multipart 原生支持,无需第三方依赖。关键在于正确调用 r.ParseMultipartForm,然后通过 r.MultipartForm.File 获取文件头,再用 file.Open() 读取内容。
设置请求解析上限并解析表单
Go 默认不对 multipart 表单做内存/磁盘限制,大文件可能耗尽内存或填满临时目录。必须显式调用 ParseMultipartForm 并传入最大内存阈值(单位字节):
- 若文件大小 ≤ 该阈值,整个文件将驻留内存;否则,超出部分会暂存到磁盘(默认使用
os.TempDir()) - 建议设为合理值(如 32
- 必须在访问
r.MultipartForm前调用,否则会 panic
获取并保存上传的文件
解析成功后,通过字段名(HTML 表单中 的 name 属性)获取文件切片,每个文件对应一个 *multipart.FileHeader:
- 检查
fileHeader.Size防止空文件或超限 - 用
fileHeader.Open()得到multipart.File(本质是io.ReadCloser) - 用
os.Create创建目标文件,再用io.Copy流式写入,避免全量加载到内存 - 务必 defer
src.Close()和dst.Close()
安全处理文件名与路径
用户提交的 fileHeader.Filename 不可信,直接拼接可能导致路径遍历(如 ../../etc/passwd)或非法字符问题:
- 用
path.Base提取基础文件名,丢弃所有路径信息 - 可结合正则或白名单过滤特殊字符(如只保留字母、数字、下划线、点)
- 生成唯一文件名(如 UUID + 原扩展名),避免覆盖和冲突
- 目标保存目录需提前创建(
os.MkdirAll),并确认进程有写权限
完整示例:接收 avatar 字段的图片上传
注意:生产环境应加鉴权、类型校验(fileHeader.Header.Get("Content-Type"))、大小限制、超时控制等
func uploadHandler(w http.ResponseWriter, r *http.Request) {
if r.Method != "POST" {
http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
return
}
// 设置最大内存为 32MB,超过部分写入临时磁盘
err := r.ParseMultipartForm(32 << 20)
if err != nil {
http.Error(w, "Unable to parse form", http.StatusBadRequest)
return
}
// 获取名为 "avatar" 的文件列表
files := r.MultipartForm.File["avatar"]
if len(files) == 0 {
http.Error(w, "No file uploaded", http.StatusBadRequest)
return
}
fileHeader := files[0]
if fileHeader.Size == 0 {
http.Error(w, "Empty file", http.StatusBadRequest)
return
}
// 安全提取文件名
filename := path.Base(fileHeader.Filename)
ext := path.Ext(filename)
safeName := fmt.Sprintf("%s%s", uuid.New().String(), ext)
dst, err := os.Create("./uploads/" + safeName)
if err != nil {
http.Error(w, "Cannot create file", http.StatusInternalServerError)
return
}
defer dst.Close()
src, err := fileHeader.Open()
if err != nil {
http.Error(w, "Cannot open uploaded file", http.StatusInternalServerError)
return
}
defer src.Close()
if _, err := io.Copy(dst, src); err != nil {
http.Error(w, "Failed to save file", http.StatusInternalServerError)
return
}
w.WriteHeader(http.StatusOK)
json.NewEncoder(w).Encode(map[string]string{"filename": safeName})
}
filename := path.Base(fileHeader.Filename)
ext := path.Ext(filename)
safeName := fmt.Sprintf("%s%s", uuid.New().String(), ext)
dst, err := os.Create("./uploads/" + safeName)
if err != nil {
http.Error(w, "Cannot create file", http.StatusInternalServerError)
return
}
defer dst.Close()
src, err := fileHeader.Open()
if err != nil {
http.Error(w, "Cannot open uploaded file", http.StatusInternalServerError)
return
}
defer src.Close()
if _, err := io.Copy(dst, src); err != nil {
http.Error(w, "Failed to save file", http.StatusInternalServerError)
return
}
w.WriteHeader(http.StatusOK)
json.NewEncoder(w).Encode(map[string]string{"filename": safeName})
}
