必须调用 r.ParseForm() 才能读取表单数据，否则 r.FormValue("content") 返回空；推荐用 r.FormValue 统一获取参数，并校验内容非空且长度不超过500。

用 net/http 处理评论提交的 POST 请求

Go 原生 http.HandleFunc 能直接读取表单数据，但容易忽略 ParseForm() 的必要性——不调用它会导致 r.FormValue("content") 始终返回空字符串。

常见错误现象：前端提交了内容，后端日志打印出空值，或数据库存入空字符串。

• 必须在读取表单前调用 r.ParseForm()，否则 r.PostForm 未初始化
• 推荐统一用 r.FormValue("field")，它自动兼容 POST 和 GET 参数
• 对用户输入做基础校验：长度限制（如 len(content) > 0 && len(content) ）、过滤空格和控制字符

func handleCommentSubmit(w http.ResponseWriter, r *http.Request) {
    if r.Method != "POST" {
        http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
        return
    }
    if err := r.ParseForm(); err != nil {
        http.Error(w, "Invalid form data", http.StatusBadRequest)
        return
    }
    content := strings.TrimSpace(r.FormValue("content"))
    if len(content) == 0 || len(content) > 500 {
        http.Error(w, "Content is required and must be <= 500 chars", http.StatusBadRequest)
        return
    }
    // save to DB...
}

用 database/sql 安全插入评论并返回 ID

插入评论时若只用 Exec()，就拿不到新生成的主键 ID，后续无法做跳转或关联操作；而直接拼接 SQL 字符串又极易引发 SQL 注入。

使用 Prepare() + Exec() 是最稳妥的路径，尤其注意 PostgreSQL 和 MySQL 对返回 ID 的语法差异。

立即学习“go语言免费学习笔记（深入）”；

• MySQL 用 LAST_INSERT_ID()，但需额外查询；更推荐用 QueryRow("INSERT ... VALUES (?) RETURNING id")（仅 PostgreSQL）
• SQLite 支持 RETURNING，但 Go 的 database/sql 驱动需用 sqlite3 v1.14+ 并启用 _cgo
• 统一建议：用 QueryRow().Scan(&id) 获取自增 ID，避免竞态和时序问题

stmt, err := db.Prepare("INSERT INTO comments (content, created_at) VALUES (?, ?)")
if err != nil {
    log.Fatal(err)
}
defer stmt.Close()
result, err := stmt.Exec(content, time.Now())
if err != nil {
    http.Error(w, "Failed to save comment", http.StatusInternalServerError)
    return
}
id, err := result.LastInsertId()
if err != nil {
    http.Error(w, "Failed to get comment ID", http.StatusInternalServerError)
    return
}

用 html/template 渲染评论列表并防 XSS

直接把数据库字段用 {{.Content}} 输出到 HTML，等于把用户输入原样执行——如果有人提交 ，所有访客都会触发弹窗。

html/template 默认会转义，但前提是变量必须通过 .Content 访问，不能用 {{printf "%s" .Content}} 或 {{.Content | safeHTML}} 等绕过机制。

• 确保模板中所有用户内容都走 {{.Field}}，不要用 printf、format 等函数包裹后再插值
• 若需支持有限 HTML（如 ），应先用 bluemonday 等库清洗，再用 template.HTML 类型显式标记为安全
• 时间字段建议在 Go 层格式化好（如 t.Format("2006-01-02 15:04")），避免模板里写复杂逻辑

type Comment struct {
    ID        int       `json:"id"`
    Content   string    `json:"content"`
    CreatedAt time.Time `json:"created_at"`
}

// 在 handler 中：
comments, _ := getCommentsFromDB()
t.Execute(w, map[string]interface{}{
    "Comments": comments,
})

{{range .Comments}}

  
{{.Content}}
  {{.CreatedAt.Format "2006-01-02 15:04"}}

{{end}}

前端提交后不刷新页面的简单实现

纯 Go 后端没配 CORS 或没设响应头，fetch() 会静默失败；而用 form.submit() 又导致整页刷新，体验断裂。

关键点不在 JS 多炫酷，而在服务端是否配合：必须返回 JSON，且设置 Content-Type: application/json，否则前端解析失败。

• 后端响应必须是 JSON 格式（哪怕只返回 {"ok": true}），不能混用 HTML 或纯文本
• 前端 fetch 要捕获 response.ok 和 response.json() 两层错误，网络失败、HTTP 错误、JSON 解析失败要分开处理
• 提交成功后清空输入框并滚动到底部，用 textarea.value = "" 和 element.scrollIntoView({behavior: 'smooth'})

fetch("/comment", {
    method: "POST",
    headers: { "Content-Type": "application/x-www-form-urlencoded" },
    body: new URLSearchParams({ content: textarea.value })
})
.then(r => {
    if (!r.ok) throw new Error("Network error");
    return r.json();
})
.then(data => {
    textarea.value = "";
    // append new comment to DOM...
})
.catch(err => console.error("Submit failed:", err));

真正卡住人的地方往往不是语法，而是 HTTP 方法与 Content-Type 的隐式耦合、SQL 返回值获取方式的驱动差异、以及模板变量是否被正确识别为需要转义的内容——这些细节不写死在代码里，光靠文档很难排查。