必须调用 r.ParseForm() 才能读取表单数据,否则 r.FormValue("content") 返回空;推荐用 r.FormValue 统一获取参数,并校验内容非空且长度不超过500。
用 net/http 处理评论提交的 POST 请求
Go 原生 http.HandleFunc 能直接读取表单数据,但容易忽略 ParseForm() 的必要性——不调用它会导致 r.FormValue("content") 始终返回空字符串。
常见错误现象:前端提交了内容,后端日志打印出空值,或数据库存入空字符串。
- 必须在读取表单前调用
r.ParseForm(),否则r.PostForm未初始化 - 推荐统一用
r.FormValue("field"),它自动兼容POST和GET参数 - 对用户输入做基础校验:长度限制(如
len(content) > 0 && len(content) )、过滤空格和控制字符
func handleCommentSubmit(w http.ResponseWriter, r *http.Request) {
if r.Method != "POST" {
http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
return
}
if err := r.ParseForm(); err != nil {
http.Error(w, "Invalid form data", http.StatusBadRequest)
return
}
content := strings.TrimSpace(r.FormValue("content"))
if len(content) == 0 || len(content) > 500 {
http.Error(w, "Content is required and must be <= 500 chars", http.StatusBadRequest)
return
}
// save to DB...
}
用 database/sql 安全插入评论并返回 ID
插入评论时若只用 Exec(),就拿不到新生成的主键 ID,后续无法做跳转或关联操作;而直接拼接 SQL 字符串又极易引发 SQL 注入。
使用 Prepare() + Exec() 是最稳妥的路径,尤其注意 PostgreSQL 和 MySQL 对返回 ID 的语法差异。
立即学习“go语言免费学习笔记(深入)”;
- MySQL 用
LAST_INSERT_ID(),但需额外查询;更推荐用QueryRow("INSERT ... VALUES (?) RETURNING id")(仅 PostgreSQL) - SQLite 支持
RETURNING,但 Go 的database/sql驱动需用sqlite3v1.14+ 并启用_cgo - 统一建议:用
QueryRow().Scan(&id)获取自增 ID,避免竞态和时序问题
stmt, err := db.Prepare("INSERT INTO comments (content, created_at) VALUES (?, ?)")
if err != nil {
log.Fatal(err)
}
defer stmt.Close()
result, err := stmt.Exec(content, time.Now())
if err != nil {
http.Error(w, "Failed to save comment", http.StatusInternalServerError)
return
}
id, err := result.LastInsertId()
if err != nil {
http.Error(w, "Failed to get comment ID", http.StatusInternalServerError)
return
}
用 html/template 渲染评论列表并防 XSS
直接把数据库字段用 {{.Content}} 输出到 HTML,等于把用户输入原样执行——如果有人提交 ,所有访客都会触发弹窗。
html/template 默认会转义,但前提是变量必须通过 .Content 访问,不能用 {{printf "%s" .Content}} 或 {{.Content | safeHTML}} 等绕过机制。
- 确保模板中所有用户内容都走
{{.Field}},不要用printf、format等函数包裹后再插值 - 若需支持有限 HTML(如
),应先用bluemonday等库清洗,再用template.HTML类型显式标记为安全 - 时间字段建议在 Go 层格式化好(如
t.Format("2006-01-02 15:04")),避免模板里写复杂逻辑
type Comment struct {
ID int `json:"id"`
Content string `json:"content"`
CreatedAt time.Time `json:"created_at"`
}
// 在 handler 中:
comments, _ := getCommentsFromDB()
t.Execute(w, map[string]interface{}{
"Comments": comments,
})
前端提交后不刷新页面的简单实现
纯 Go 后端没配 CORS 或没设响应头,fetch() 会静默失败;而用 form.submit() 又导致整页刷新,体验断裂。
关键点不在 JS 多炫酷,而在服务端是否配合:必须返回 JSON,且设置 Content-Type: application/json,否则前端解析失败。
- 后端响应必须是 JSON 格式(哪怕只返回
{"ok": true}),不能混用 HTML 或纯文本 - 前端 fetch 要捕获
response.ok和response.json()两层错误,网络失败、HTTP 错误、JSON 解析失败要分开处理 - 提交成功后清空输入框并滚动到底部,用
textarea.value = ""和element.scrollIntoView({behavior: 'smooth'})
fetch("/comment", {
method: "POST",
headers: { "Content-Type": "application/x-www-form-urlencoded" },
body: new URLSearchParams({ content: textarea.value })
})
.then(r => {
if (!r.ok) throw new Error("Network error");
return r.json();
})
.then(data => {
textarea.value = "";
// append new comment to DOM...
})
.catch(err => console.error("Submit failed:", err));
真正卡住人的地方往往不是语法,而是 HTTP 方法与 Content-Type 的隐式耦合、SQL 返回值获取方式的驱动差异、以及模板变量是否被正确识别为需要转义的内容——这些细节不写死在代码里,光靠文档很难排查。
{{.Content}}
{{.CreatedAt.Format "2006-01-02 15:04"}}