Golang实战：Gin框架打造简易留言板

选Gin而非net/http因后者需手动处理路由嵌套、表单解析、JSON响应等，易出错；Gin提供中间件、结构化路由、自动绑定校验及JSON序列化，开发效率更高。

为什么不用 net/http 而选 Gin？

因为 net/http 写留言墙确实能跑，但路由嵌套、表单解析、JSON 响应、错误处理这些事，每加一个功能就得手动补一堆胶水代码。Gin 自带中间件、结构化路由、c.ShouldBind() 自动校验、c.JSON() 一键序列化——开发效率差一倍不止。

常见错误现象：用 net/http 时忘记调 r.ParseForm()，结果 r.FormValue("user") 总是空；或没设 Content-Type，前端 fetch 拿不到 JSON；又或者重定向后用户狂点提交按钮，重复留言刷屏。

• Gin 的 c.Bind() 会自动处理表单/JSON/查询参数，不依赖手动解析
• gin.Default() 默认带日志和恢复中间件，panic 不会直接崩服务
• 路由分组（如 v1 := r.Group("/api")）让接口路径更清晰，后续加 JWT 鉴权也顺手

如何定义 Message 结构体并安全存入内存？

别用裸切片全局变量 var messages []Message —— 并发写入时会 panic，哪怕只是本地测试，浏览器多开两个标签页就可能触发。

正确做法是用 sync.RWMutex 包一层，读多写少的场景下性能损耗极小。字段命名要导出（首字母大写），否则模板或 JSON 序列化时拿不到值。

type Message struct {
    ID        int       `json:"id"`
    Username  string    `json:"username" binding:"required,min=1,max=20"`
    Content   string    `json:"content" binding:"required,min=1,max=500"`
    CreatedAt time.Time `json:"created_at"`
}

var (
    mu       sync.RWMutex
    messages = make([]Message, 0)
)

• binding 标签让 c.ShouldBind() 自动校验长度和非空，省去 if 判断
• Content 必须过 html.EscapeString() 再存，否则前端用 {{.Content}} 渲染会执行 JS
• ID 别用 len(messages)+1，改用原子计数器 atomic.AddInt32(&nextID, 1) 更稳妥

怎么让表单提交不重复、刷新不弹窗、时间格式可控？

用户点一次“提交”，后端返回成功，但页面没反馈，ta 就再点——这是最典型的重复提交。根本解法不是前端加按钮禁用，而是后端用 POST-Redirect-GET（PRG）模式，配合 Gin 的 c.Redirect()。

时间格式问题常被忽略：time.Now() 存的是完整纳秒级时间，但模板里 {{.CreatedAt.Format "2006-01-02 15:04"}} 每次都要写一遍；不如在结构体里加个只读字段 CreatedStr string，存入时就格式化好。

• POST 接口（如 /api/message）只做保存 + 返回 JSON，不渲染 HTML
• 前端用 fetch 提交，成功后 window.location.reload() 或走 GET /messages 拉新列表
• 模板中直接用 {{.CreatedStr}}，避免每次渲染都调 Format 方法（虽小但累积有开销）

HTML 模板里怎么防 XSS 又不破坏换行？

Go 的 html/template 默认转义所有 {{.Content}}，这是好事；但用户输入的换行符 \n 会被当成普通字符，前端显示为一整段。不能用 {{.Content|safe}}，那等于开门放 XSS 进来。

正确做法是：存入前把 \n 替换成 <br>，再整体转义。用 strings.ReplaceAll(html.EscapeString(content), "\n", "<br>")，顺序不能反——先转义再替换，否则 <script> 就真执行了。

• 模板里保持 {{.Content}}，不加任何修饰符
• 如果内容要支持简单 Markdown（如 *粗体*），那就得引入专用库如 blackfriday，别自己正则替换
• 静态资源（CSS/JS）别硬塞进模板，单独放 static/ 目录，用 router.Static() 挂载

真正上线前，内存存储这关必须过——哪怕先用 SQLite，也比重启丢数据强。Gin 本身不绑数据库，但 database/sql + github.com/mattn/go-sqlite3 三行就能连上，比想象中轻量得多。