如何在Golang中上传文件到服务器_Golang net/http 文件上传方法

使用 http.HandleFunc 处理 multipart/form-data 上传需先调用 r.ParseMultipartForm(32

用 http.HandleFunc 接收 multipart/form-data 文件上传

Go 标准库的 net/http 原生支持 multipart/form-data，不需要额外依赖。关键在于调用 r.ParseMultipartForm（或 r.ParseForm）触发解析，否则 r.MultipartForm 为空，r.FormFile 会返回 http.ErrMissingFile。

• 必须设置 MaxMemory，否则大文件会直接写临时磁盘，且不设上限易被恶意上传打满磁盘
• r.FormFile("file") 返回的是 *multipart.FileHeader，不是文件内容本身
• 前端 的 name 属性值必须和 FormFile 第一个参数一致

func uploadHandler(w http.ResponseWriter, r *http.Request) {
    if r.Method != "POST" {
        http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
        return
    }

    // 必须先解析，且限制内存使用（例如 32MB）
    err := r.ParseMultipartForm(32 << 20)
    if err != nil {
        http.Error(w, "Unable to parse form", http.StatusBadRequest)
        return
    }

    file, header, err := r.FormFile("file")
    if err != nil {
        http.Error(w, "No file uploaded or parsing failed", http.StatusBadRequest)
        return
    }
    defer file.Close()

    // 保存到本地（示例路径）
    dst, err := os.Create("./uploads/" + header.Filename)
    if err != nil {
        http.Error(w, "Failed to create file", http.StatusInternalServerError)
        return
    }
    defer dst.Close()

    if _, err := io.Copy(dst, file); err != nil {
        http.Error(w, "Failed to save file", http.StatusInternalServerError)
        return
    }

    w.WriteHeader(http.StatusOK)
    w.Write([]byte("Upload success"))
}

处理多个文件或同名多文件时用 r.MultipartForm.File

r.FormFile 只取第一个匹配 name 的文件；如果 HTML 中用了 multiple 或后端要支持多个同名 ，得直接访问 r.MultipartForm.File map——它按 name 键存储 []*multipart.FileHeader 切片。

• r.MultipartForm 仅在调用 ParseMultipartForm 后才有效
• 注意检查 r.MultipartForm.File["files"] 是否为 nil，空切片和 nil 都可能
• 每个 FileHeader 都需单独调用 r.Open 获取读取句柄

files := r.MultipartForm.File["files"]
if len(files) == 0 {
    http.Error(w, "No files uploaded", http.StatusBadRequest)
    return
}

for _, fhdr := range files {
    file, err := fhdr.Open()
    if err != nil {
        continue // 跳过单个失败项，不中断整体
    }
    defer file.Close()

    dst, _ := os.Create("./uploads/" + fhdr.Filename)
    defer dst.Close()
    io.Copy(dst, file)
}

避免 http: invalid byte in chunked body 错误

这个错误通常不是 Go 代码问题，而是客户端未正确构造 multipart 请求：比如手动拼接 boundary、漏传 Content-Type、或使用了不兼容的 HTTP 客户端（如某些旧版 curl 未加 -F）。服务端无法修复这类请求，但可以提前拦截。

• 检查请求头是否含 Content-Type: multipart/form-data; boundary=...
• 若 r.MultipartForm == nil 且 r.Method == "POST"，大概率是客户端发错了格式
• 不要试图用 io.ReadAll(r.Body) 再手动解析——ParseMultipartForm 已消费 Body，重复读会失败

生产环境必须加的防护点

文件上传是常见攻击入口，仅实现功能远远不够：

支付宝账户登录ecshop插件

支付宝账户登录ecshop插件简介： 先向支付宝申请支付接口，拿到合作身份者ID和安全检验码这两个东西。 把login整个文件夹传到服务器上ecshop安装所在的目录，如果路径不对可以会导致使用失败。 需要修改的文件：alipay_config.php return_url.php可以修改第30行的邮箱域名为你的网站域名。 别的不用改，否则会导致无法使用。

下载

立即学习“go语言免费学习笔记（深入）”；

• 校验 header.Size，防止超大文件（比如限制 ≤100MB）
• 检查 header.Header.Get("Content-Type")，但不可全信——需配合后缀白名单（如只允许 .jpg, .pdf）和魔数检测
• 重命名文件名，避免路径遍历（如 ../../etc/passwd）和执行风险（如 .php）
• 上传目录禁止执行权限，且不放在 Web root 下直出
• 考虑用 io.LimitReader 包裹 file，双重限制读取量

边界和安全细节容易被忽略，尤其是魔数检测和路径净化——这两步不加，光靠扩展名过滤基本等于没防。