# 活的系统 我们更愿意去打造有着良好用户体验的系统，虽然这样会提升成本，但没有比用户满意更重要的了。 显然，每添加一个用户，我们都需要修改源代码是很不现实的。鉴于此，FORM这个东西就出现了，它能够获取到用户的输入，并且能够将用户的输入提交到我们指定的URL中。对于我们来讲，相当于用户把一些数据直接提交到了我们的ACTION中，那么当然我们就可以在ACTION中，对用户传入的值进行灵活的操作了。 我们一直说增删改查，但在上一节中，我们却更多的用了insert， 而不是add。这显然与SQL语句有关，因为在SQL语句中使用insert into xxx 来实现增加数，第二点呢，其实这还和FORM表单有关。 我们认为，用户只有先添加数据到FORM表单中，然后才可能实现将数据添加到数据表中的目的。 所以，我们把用户在表单中添加数据的动作，叫做add，而把数据增加到数据表中的动作，叫做insert。 即数据增加的过程实际上是：用户访问`add` -> `用户输入数据` -> `用户将数据传给insert` -> `系统将用户数据存入系统`。 ## add action ~~~ public function add() { return 'hello add'; } ~~~ 测试结果如下图所示：  ## 引入V层 基本上可以这样说，如果你用到HTML，那么就会有V层的出现。 ~~~ public function add() { $htmls = $this->fetch(); return $htmls; } ~~~ 对应的add.html文件如下图所示：  如果对V层文件的位置还不是很清楚的话，你需要现在回去再看一遍3.2.5小节的内容。 测试结果如下图所示：  ## 定制表单 add.html文件的代码如下： ~~~ <!DOCTYPE html> <html lang="zh-cn"> <head> <meta charset="UTF-8"> <title>新增数据</title> </head> <body class="container"> <div class="row"> <div class="col-md-12"> <form action="insert" method="post"> <label>姓名:</label> <input type="text" name="name" /> <label>用户名:</label> <input type="text" name="username" /> <label>性别:</label> <select name="sex"> <option value="0">男</option> <option value="1">女</option> </select> <label>邮箱:</label> <input type="email" name="email" /> <button type="submit">保存</button> </form> </div> </div> </body> </html> ~~~ 此时，form表单的action指向了insert，即用户将数据传给了insert action。 下面我们将改写insert的内容，以查看数据是否以正确的方式传入并且insert已经正确接收了。 ~~~ public function insert() { var_dump($_POST); return ; // 提前返回 // 实例化Teacher空对象 $Teacher = new Teacher(); $Teacher->name = '王五'; $Teacher->username = 'wangwu'; $Teacher->sex = '1'; $Teacher->email = 'wangwu@yunzhi.club'; // 执行对象的插入数据操作 $Teacher->save(); // 反馈结果 return '新增成功。新增ID为:' . $Teacher->id; } ~~~ `return`表示：本函数执行到此结束。 测试结果如下：  点击保存后，跳转至insert 。  ~~~ git checkout -f step3.3.2.1 ~~~ 执行上述命令后，上述示例代码信息如下： C层：  V层：  我们看到，数据以POST方式传入了，并且insert也可以正确接收。 > 如果还不太清楚$_POST，你需要GOOGLE一下，最好也一并GOOGLE一下$_GET。 ## 使用内置类获取变量 在thinkphp中，为了防止sql注入（一种非常常见的攻击手法），我们在取一些系统变量信息时，使用thinkphp提供给我们的Request来获取用户输入的变量。 > 变量获取 http://www.kancloud.cn/manual/thinkphp5/118044 我们简单来看一下，使用内置Request类并正确设置后，与直接输出的区别。 将insert代码改写为: ~~~ ... use think\Request; // 引用Request ... public function insert() { var_dump($_POST); // Request::instance()返回了一个对象，调用这个对象的post()方法，得到post数据 $postData = Request::instance()->post(); var_dump($postData); return ; // 提前返回 // 实例化Teacher空对象 $Teacher = new Teacher(); $Teacher->name = '王五'; $Teacher->username = 'wangwu'; $Teacher->sex = '1'; $Teacher->email = 'wangwu@yunzhi.club'; // 执行对象的插入数据操作 $Teacher->save(); // 反馈结果 return '新增成功。新增ID为:' . $Teacher->id; } ~~~ 测试结果如下图所示：  默认点击上图中的【保存】按钮后，跳转至如下页面：  我们发现使用`Request::instance()->post();`同样获取到了post过来的数据。我们在分析这行语句前首先回顾下前面的内容。 * * * * * 在前面的3.2.3中，我们使用`Db::name('teacher')->select();`来获取了数据表中的数据。对比我们在这里使用的`Request::instance()->post();`不难发现`::`这个符号。在这里，我们可以把`Db::name('teacher')`理解为调用`Db`类中的`name`方法；把`Request::instance()->post();`理解为调用`Request`类中的`instance()`方法。 前面我们在提到面向对象的思想时，讲过面向对象的步骤是：先实例化一个对象，然后调用这个对象上的方法。 那么为什么这里，我们没有实例化`Db`类，却直接使用了`::`调用`name()`方法呢？ 这是由于在类中有一种方法叫做**静态方法**，**静态方法**可以不进行实例化而直接使用`::`来调用。而上面的`name()`和`instance()`都是`ThinkPHP`为我们准备好的静态方法。后面的章节中，我们还会专门的对静态方法进行讲解。 * * * * * 通过测试不难看出，使用上述两种方法获取到的post数据是一致的，那么怎么防止sql注入呢？下面，我们在config.php中设置一下过滤方法： ~~~ // 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'htmlspecialchars', ~~~ 我们在用户名处，输入&<两个特殊的符号，然后点击保存进行测试：  我们看到 &< 两个符号变成了 `&amp;&lt;`。 这是出于安全的角度上考虑的。至于为什么这样就安全了，什么时候我们需要停用安全过滤，我们争取在后续进阶教程中给大家讲解。 在这里，我们只需要知道在config.php文件中，设置过滤方法后，再使用Resquest::instance()->post() 来获取post数据，就可以了，这样做的目的是为保证数据更加安全。 ~~~ git checkout -f step3.3.2.2 ~~~ 执行上述命令后，上述示例代码信息如下：  在配置文件config.php中设置过滤方法如下所示：