symfony使用get方法禁用csrf对classles表单的保护

问题描述 投票:2回答:1

我有无类表单,使用GET方法,不能禁用csrf保护。我想使用GET方法,因为用户必须可以选择提供他/她的搜索链接。当用户提交表单时,_token会出现在URL中。如果其他用户尝试使用它,您知道“CSRF令牌无效。请尝试重新提交表单。”出现。

这是控制器中的功能:

 /**
 * @Route("/tips/all", name="all_tips")
 */
public function listAction(Request $request)
{
    $period = 0;
    $sport = array('3', '4', '15', '19', '20', '29', '33');
    $defaultData = array(
        'csrf_protection' => false,
        'period' => 0,
        'sport' => $sport,
    );
    $form = $this->createFormBuilder($defaultData)
        ->add('period', 'choice',
            array('choices' => array(
                '0' => "All time",
                '1' => "Last month",
                '2' => "Last 3 months",
                '3' => "Last year",
            ),
                'expanded' => false,
                'multiple' => false,
            )
        )
        ->add('sport', 'choice',
            array('choices' => array(
                '3' => 'Baseball',
                '4' => 'Basketball',
                '15' => 'Football',
                '19' => 'Hockey',
                '29' => 'Soccer',
                '33' => 'Tennis',
            ),
                'expanded' => true,
                'multiple' => true,
                'data' => $sport,
            ))
        ->add('send', 'submit')
        ->setMethod('GET')
        ->getForm();

    $form->handleRequest($request);

    if ($form->isSubmitted() && $form->isValid()) {
        $data = $form->getData();
        $period = $data['period'];
        $sport = $data['sport'];
    }

    $em = $this->getDoctrine()->getManager();
    $addSport = !empty($sport) ? '  p.sport in (' . implode(',', $sport) . ')' : '';
    $dql = "
        SELECT
            p
        FROM
            AppBundle:Predictions p
        WHERE " .
        $addSport .
        $this->fromTo($period, 'dql');
    $query = $em->createQuery($dql);
    $paginator = $this->get('knp_paginator');
    $pagination = $paginator->paginate(
        $query, $request->query->getInt('page', 1), 50, array(
            'defaultSortFieldName' => 'p.predictDate',
            'defaultSortDirection' => 'DESC',
        )
    );
    return $this->render('AppBundle:Tips:all.html.twig', array(
        'pagination' => $pagination,
        'form' => $form->createView(),
    ));
}

这是树枝中的代码

{{ form_start(form) }}
{{ form_widget(form) }}
{{ form_end(form) }}

我的Symfony版本是v2.8.45。

我尝试在默认选项中传递'csrf_protection'=> false,但似乎无效。

我做错了什么?

编辑:嗯,我刚看到SQL注入的可能性。 :-(我会解决的。

forms symfony get csrf
1个回答
1
投票

问题是您已在数据数组中添加了csrf_protection选项而不是options数组。 createFormBuilder方法的声明是:

protected function createFormBuilder($data = null, array $options = array())

所以你必须改变你的代码:

$defaultData = array(
    'period' => 0,
    'sport' => $sport,
);

$options = array('csrf_protection' => false);

$form = $this->createFormBuilder($defaultData, $options)
        ...
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.