一般最常用写法：

M(‘数据库名称‘)->create();  //这种情况都是靠系统去判断的，有时准，有时不准，然后很多童鞋就蛋疼了

规范写法：

①：通过POST方式接收的数据，且将接收的数据插入到数据库

M(‘数据库名称‘)->create($_POST,1);

②：通过GET方式接收的数据，且将接收的数据插入到数据库

M(‘数据库名称‘)->create($_GET,1);

③：通过POST方式接收的数据，且将接收的数据更新到数据库

M(‘数据库名称‘)->create($_POST,2);

④：通过GET方式接收的数据，且将接收的数据更新到数据库

M(‘数据库名称‘)->create($_GET,2);

TP源码：

/**
     * 创建数据对象 但不保存到数据库
     * @access public
     * @param mixed $data 创建数据
     * @param string $type 状态
     *    // 状态
     *    $type = $type?:(!empty($data[$this->getPk()])?self::MODEL_UPDATE:self::MODEL_INSERT);
     * @return mixed
     */
     function create($data=http://www.mamicode.com/‘‘,$type=‘‘) >


更多详情参考：http://blog.csdn.net/df981011512/article/details/52912289
本文出自 “为了以后” 博客，谢绝转载！
ThinkPHP3.2.3下使用create函数更新数据安全使用方法