首页 > 文章 > python教程

Flask文件上传：request.files获取与保存方法

时间：2026-04-12 20:41:36 357浏览收藏

本文深入剖析了Flask中文件上传的核心痛点与实战解决方案，系统讲解了request.files为空或报KeyError的根源——前端未正确设置enctype="multipart/form-data"或curl未使用-F参数、后端未妥善处理FileStorage对象的状态与安全边界；强调必须用secure_filename()防范路径穿越、手动创建父目录、合理选用get()/getlist()避免异常，并指出save()失败常源于流指针偏移、权限不足或路径不存在；同时覆盖大文件分块读写、全局限制MAX_CONTENT_LENGTH、基于mimetype和magic bytes的内容校验、Nginx协同配置等关键细节，直击生产环境中那些隐藏在“一行save()”背后的真正难题。

Flask怎么处理文件上传_request.files获取文件并save()保存

Flask中`request.files`为空或报`KeyError`

根本原因通常是前端没发对，或者后端没配好接收条件。Flask默认不自动解析multipart/form-data，但只要用了request.files就会触发解析——前提是请求确实是这种类型，且表单有enctype="multipart/form-data"。

检查HTML表单是否漏了enctype="multipart/form-data"，只写
默认是application/x-www-form-urlencoded，文件字段直接被忽略
用curl调试时，必须加-F "file=@/path/to/file"，不能用-d或--data
request.files.get("file")比request.files["file"]安全，后者在键不存在时抛KeyError
如果上传多个同名文件（如<input type="file" multiple>），request.files.getlist("file")才能拿到全部，单用get()只取第一个

`FileStorage.save()`保存失败的常见原因

save()本质是调用file.read()再写入磁盘，所以权限、路径、文件大小都会卡住它。它不会自动创建父目录，也不校验文件扩展名或内容类型。

目标路径的父目录必须已存在，否则抛OSError: [Errno 2] No such file or directory；用os.makedirs(os.path.dirname(path), exist_ok=True)提前建好
别直接拼接filename到路径里，用户可传../../etc/passwd导致路径穿越；用secure_filename()处理：from werkzeug.utils import secure_filename → secure_filename(f.filename)
save()会把整个文件读进内存再写出，大文件（比如>100MB）容易OOM；需配合stream手动分块读写，或改用f.stream.read(8192)循环写入
Windows下注意路径分隔符，os.path.join()比字符串拼接更可靠

如何限制上传文件大小和类型

Flask本身不校验内容，靠配置和手动判断。关键点在于：限制要尽早做，避免大文件已上传一半才拒绝。

全局限制：在app.config设MAX_CONTENT_LENGTH（单位字节），超限直接返回413错误，不进视图函数：app.config['MAX_CONTENT_LENGTH'] = 16 * 1024 * 1024（16MB）
类型校验不能只看f.filename后缀，得读文件头（magic bytes）；简单场景可用f.mimetype，但它由客户端提供，不可信
白名单比黑名单靠谱，例如只允许['image/jpeg', 'image/png']，遇到text/plain就拒掉
如果用了Nginx，它可能在到达Flask前就截断大请求，此时需同步调大client_max_body_size