17370845950

必须用 r.URL.Query().Get() 读取 query 参数，因其直接安全、无副作用；r.FormValue() 仅适用于已解析的表单且存在同名覆盖风险，不可靠。

query参数必须用 r.URL.Query().Get() 而不是 r.FormValue()

很多初学者误以为 r.FormValue() 能统一读取所有参数，但它只解析 POST 表单（application/x-www-form-urlencoded）和 multipart/form-data 中的字段，对 URL query 参数的读取依赖于是否调用了 r.ParseForm()。而 r.URL.Query().Get() 是最直接、最安全的方式，不触发任何解析副作用。

• r.URL.Query() 返回的是 url.Values，底层是 map[string][]string，所以 .Get() 取第一个值，.Get("id") 等价于 vals["id"][0]
• 如果没调用 r.ParseForm()，r.FormValue() 仍可能返回 query 值——这是 Go 的隐式 fallback 行为，但不可靠，尤其在有同名 form 字段时会覆盖
• 显式用 r.URL.Query().Get("page") 更清晰，且无性能开销（url.ParseQuery 已在 URL 解析阶段完成）

POST 表单和 JSON 请求必须区分处理逻辑

Go 的 http.Request 不会自动识别请求体类型，r.ParseForm() 和 json.NewDecoder(r.Body).Decode() 互斥：一旦读取过 r.Body，再次读取会返回空（因为 Body 是单次读取流）。常见错误是先调用 r.ParseForm() 再尝试解 JSON，结果 json.Decode 收到空字节流。

• 判断类型用 r.Header.Get("Content-Type")，匹配 "application/json" 或 "application/x-www-form-urlencoded"
• JSON 请求：跳过 r.ParseForm()，直接 json.NewDecoder(r.Body).Decode(&v)；注意提前检查 r.ContentLength > 0 防止 panic
• 表单请求：调用 r.ParseForm() 后再用 r.PostFormValue("name")（仅限 POST），或统一用 r.FormValue("name")（兼容 GET query + POST form）

r.FormValue() 在 GET 请求中能读 query，但有隐藏风险

虽然 r.FormValue("q") 在 GET 请求中确实能取到 URL 参数，但这建立在 Go 自动调用 r.ParseForm() 的前提下。这个自动调用只发生在你首次访问 r.Form、r.PostForm 或 r.FormValue() 时，属于懒加载。问题在于：它会把 query 和 body（如果有）合并进同一个 map，当 query 和 form 字段重名时，后者会覆盖前者——这在调试时极难察觉。

• 例如 GET /search?q=go&lang=zh 和一个伪造的 POST 请求体含 lang=en，r.FormValue("lang") 返回 "en"，而非 URL 中的 "zh"
• 若只处理 query，坚持用 r.URL.Query().Get("q")；若需混合，显式调用 r.ParseForm() 后检查 r.Form["q"] 和 r.PostForm["q"] 分别取值
• 不要依赖“自动解析”的行为，尤其在中间件或封装工具函数里

自定义参数绑定建议用结构体 + 显式校验，别依赖反射库

第三方 binding 库（如 gorilla/schema 或 go-playground/validator）看似方便，但容易掩盖类型转换失败、空值处理、边界条件等细节。生产环境更推荐手动绑定 + 明确错误分支。

• 用 strconv.Atoi(r.URL.Query().Get("limit")) 并检查 error，比自动转 int 更可控
• 布尔参数别用 strconv.ParseBool 直接转，先 normalize：v := strings.ToLower(r.URL.Query().Get("debug"))，再判断是否为 "1"、"true"、"on"
• 时间参数用 time.ParseInLocation("2006-01-02", r.URL.Query().Get("date"), time.UTC)，避免默认 layout 错误

type SearchReq struct {
    Q     string `json:"q"`
    Page  int    `json:"page"`
    Limit int    `json:"limit"`
}

func parseSearchParams(r *http.Request) (*SearchReq, error) {
    q := r.URL.Query().Get("q")
    if q == "" {
        return nil, errors.New("q is required")
    }
    page, err := strconv.Atoi(r.URL.Query().Get("page"))
    if err != nil || page < 1 {
        page = 1
    }
    limit, err := strconv.Atoi(r.URL.Query().Get("limit"))
    if err != nil || limit < 1 || limit > 100 {
        limit = 20
    }
    return &SearchReq{Q: q, Page: page, Limit: limit}, nil
}

Golang HTTP 参数处理真正的复杂点不在语法，而在「谁读了 Body」「何时触发 Parse」「query 和 form 同名时的优先级」——这些都藏在文档角落，却直接影响线上行为。写 handler 时，宁可多写两行显式调用，也不要赌 Go 的自动 fallback。