ParseForm必须在读取请求体前调用，否则req.Form为空或报错；正确顺序是先ParseForm再访问Form/PostForm/MultipartForm；PostForm仅含POST体字段，Form合并URL查询与POST数据；文件上传须用ParseMultipartForm并设合理内存阈值。

Go 中 ParseForm 必须在读取请求体前调用

很多开发者遇到 req.Form 为空或报 http: request body is empty，根本原因是调用了 req.Body.Read、io.ReadAll(req.Body) 或其他方式提前消费了请求体。Go 的 ParseForm 内部会自动读取并解析 application/x-www-form-urlencoded 或 multipart/form-data 数据，但前提是请求体尚未被读取。

正确顺序只能是：

• 先调用 req.ParseForm()
• 再访问 req.Form、req.PostForm 或 req.MultipartForm
• 如需原始 body（比如同时处理 JSON 和表单），应改用 req.ParseMultipartForm 后手动读 req.MultipartForm.File 或 req.MultipartForm.Value，避免直接读 req.Body

区分 Form 与 PostForm：GET vs POST 表单字段

req.Form 包含 URL 查询参数（?name=alice）和 POST 表单数据的合并结果；req.PostForm 仅包含 POST/PUT 请求体中的表单字段（不含 query）。若业务逻辑需严格分离来源（例如防止 query 注入覆盖 POST 字段），必须用 req.PostForm。

示例场景：登录接口只接受 POST 字段，忽略 URL 上同名参数：

立即学习“go语言免费学习笔记（深入）”；

func loginHandler(w http.ResponseWriter, r *http.Request) {
    if err := r.ParseForm(); err != nil {
        http.Error(w, "parse error", http.StatusBadRequest)
        return
    }
    // ✅ 安全：只取 POST body 中的 username/password
    user := r.PostFormValue("username")
    pass := r.PostFormValue("password")
    // ❌ 危险：r.FormValue("username") 可能来自 ?username=admin
}

处理文件上传时必须用 ParseMultipartForm

普通 ParseForm 不解析 multipart/form-data 中的文件字段。若表单含 ，必须显式调用 ParseMultipartForm 并设置内存阈值（否则大文件会直接写临时磁盘）。

常见错误：未调用 ParseMultipartForm 就访问 req.MultipartForm → 返回 nil；或阈值设为 0 → 全部落磁盘，无内存缓存。

• 推荐阈值：32
• 文件读取后需调用 fh.Open() 获取 io.Reader，且必须 defer f.Close()
• 文本字段仍可通过 req.PostFormValue 获取，无需从 MultipartForm.Value 手动取

中文字段乱码？检查 Content-Type 和字符编码声明

Go 默认按 UTF-8 解析表单，但若前端 HTML 未声明 ，或表单提交时浏览器误用 GBK 编码（尤其 Windows IE），会导致 req.PostFormValue 返回乱码字符串。

验证方式：打印原始字节 fmt.Printf("% x\n", []byte(val))，若出现 c4 e3 ba c3 类似 GBK 字节，则需转码。不建议在 Go 层做自动编码检测——应在前端强制统一 UTF-8：

• HTML head 中加
• form 标签加 accept-charset="UTF-8"
• 避免使用 encoding/json 直接序列化含中文的表单结构体（JSON 默认 UTF-8，但若源数据已乱码则无效）

真正难处理的是遗留系统无法改前端的情况，这时只能依赖第三方库如 golang.org/x/text/encoding 做显式 GBK→UTF-8 转换，但属于例外路径。