6.10 创建数据 · thinkphp3.1.2

# 创建数据 [上一页](63.html "上一页")[下一页](65.html "下一页") 在进行数据操作之前，我们往往需要手动创建需要的数据，例如对于提交的表单数据：`// 获取表单的POST数据 $data['name'] = $_POST['name']; $data['email'] = $_POST['email']; // 更多的表单数据值获取 //……`然而ThinkPHP可以帮助你快速地创建数据对象，最典型的应用就是自动根据表单数据创建数据对象，这个优势在一个数据表的字段非常之多的情况下尤其明显。很简单的例子：`// 实例化User模型 $User = M('User'); // 根据表单提交的POST数据创建数据对象 $User->create(); // 把创建的数据对象写入数据库 $User->add();`Create方法支持从其它方式创建数据对象，例如，从其它的数据对象，或者数组等 `$data['name'] = 'ThinkPHP'; $data['email'] = 'ThinkPHP@gmail.com'; $User->create($data);`甚至还可以支持从对象创建新的数据对象`// 从User数据对象创建新的Member数据对象 $User = M("User"); $User->find(1); $Member = M("Member"); $Member->create($User);`而事实上，create方法所做的工作远非这么简单，在创建数据对象的同时，完成了一系列的工作，我们来看下create方法的工作流程就能明白：步骤说明返回 1 获取数据源（默认是POST数组） 2 验证数据源合法性（非数组或者对象会过滤）失败则返回false 3 检查字段映射 4 判断提交状态（新增或者编辑根据主键自动判断） 5 数据自动验证失败则返回false 6 表单令牌验证失败则返回false 7 表单数据赋值（过滤非法字段和字符串处理） 8 数据自动完成 9 生成数据对象（保存在内存）因此，我们熟悉的令牌验证、自动验证和自动完成（我们会在后面看到相关的用法）功能，其实都必须通过create方法才能生效。Create方法创建的数据对象是保存在内存中，并没有实际写入到数据库中，直到使用add或者save方法才会真正写入数据库。因此在没有调用add或者save方法之前，我们都可以改变create方法创建的数据对象，例如：`$User = M('User'); $User->create(); //创建User数据对象 $User->status = 1; // 设置默认的用户状态 $User->create_time = time(); // 设置用户的创建时间 $User->add(); // 把用户对象写入数据库`如果只是想简单创建一个数据对象，并不需要完成一些额外的功能的话，可以使用data方法简单的创建数据对象。使用如下：`// 实例化User模型 $User = M('User'); // 创建数据后写入到数据库 $data['name'] = 'ThinkPHP'; $data['email'] = 'ThinkPHP@gmail.com'; $User->data($data)->add();`Data方法也支持传入数组和对象，使用data方法创建的数据对象不会进行自动验证和过滤操作，请自行处理。但在进行add或者save操作的时候，数据表中不存在的字段以及非法的数据类型（例如对象、数组等非标量数据）是会自动过滤的，不用担心非数据表字段的写入导致SQL错误的问题。**安全提示：** create方法如果没有传值，默认取$_POST数据，如果用户提交的变量内容，含有可执行的html代码，请进行手工过滤。`$_POST['title'] = "<script>alert(1);</script>";`非法html代码可以使用htmlspecialchars进行编码，以防止用户提交的html代码在展示时被执行，以下是两种安全处理方法。`$_POST['title'] = htmlspecialchars($_POST['title']); M('User')->create();``$data['title'] = $this->_post('title', 'htmlspecialchars'); M('User')->create($data);`如果要对全局变量进行修改，请参考本手册14.4 输入过滤(VAR_FILTERS参数)和 [TP入门系列之安全设置](http://www.thinkphp.cn/info/184.html) [上一页](63.html "上一页")[下一页](65.html "下一页")