forms - symfony 使用 get 方法禁用类表单的 csrf 保护
问题描述
我有无类表单,使用 GET 方法并且不能禁用 csrf 保护。我想使用 GET 方法,因为用户必须可以选择提供指向他/她的搜索的链接。当用户提交表单时,_token 会出现在 URL 中。如果其他用户尝试使用它,您会知道,“CSRF 令牌无效。请尝试重新提交表单。” 出现。
这是控制器中的功能:
/**
* @Route("/tips/all", name="all_tips")
*/
public function listAction(Request $request)
{
$period = 0;
$sport = array('3', '4', '15', '19', '20', '29', '33');
$defaultData = array(
'csrf_protection' => false,
'period' => 0,
'sport' => $sport,
);
$form = $this->createFormBuilder($defaultData)
->add('period', 'choice',
array('choices' => array(
'0' => "All time",
'1' => "Last month",
'2' => "Last 3 months",
'3' => "Last year",
),
'expanded' => false,
'multiple' => false,
)
)
->add('sport', 'choice',
array('choices' => array(
'3' => 'Baseball',
'4' => 'Basketball',
'15' => 'Football',
'19' => 'Hockey',
'29' => 'Soccer',
'33' => 'Tennis',
),
'expanded' => true,
'multiple' => true,
'data' => $sport,
))
->add('send', 'submit')
->setMethod('GET')
->getForm();
$form->handleRequest($request);
if ($form->isSubmitted() && $form->isValid()) {
$data = $form->getData();
$period = $data['period'];
$sport = $data['sport'];
}
$em = $this->getDoctrine()->getManager();
$addSport = !empty($sport) ? ' p.sport in (' . implode(',', $sport) . ')' : '';
$dql = "
SELECT
p
FROM
AppBundle:Predictions p
WHERE " .
$addSport .
$this->fromTo($period, 'dql');
$query = $em->createQuery($dql);
$paginator = $this->get('knp_paginator');
$pagination = $paginator->paginate(
$query, $request->query->getInt('page', 1), 50, array(
'defaultSortFieldName' => 'p.predictDate',
'defaultSortDirection' => 'DESC',
)
);
return $this->render('AppBundle:Tips:all.html.twig', array(
'pagination' => $pagination,
'form' => $form->createView(),
));
}
这是树枝中的代码
{{ form_start(form) }}
{{ form_widget(form) }}
{{ form_end(form) }}
我的 Symfony 版本是 v2.8.45。
我试图在默认选项中传递'csrf_protection' => false,但它似乎不起作用。
我做错了什么?
编辑:嗯,我刚刚看到了 SQL 注入的可能性。:-( 我会修复它。
解决方案
问题是您在数据数组而不是选项数组中添加了 csrf_protection 选项。createFormBuilder 方法的声明是:
protected function createFormBuilder($data = null, array $options = array())
所以你必须像这样改变你的代码:
$defaultData = array(
'period' => 0,
'sport' => $sport,
);
$options = array('csrf_protection' => false);
$form = $this->createFormBuilder($defaultData, $options)
...
推荐阅读
- r - r - 从列表中打印图返回 quosure 错误
- c# - 优化 if -else 语句
- apache - 如何查看谁登录了 apache http 代理服务器
- python-3.x - 在网络图中获取断开的节点对?
- python - 这两条线有什么区别,MSC v.1900 64 bit (AMD64) 和 MSC v.1914 32 bit (Intel)
- mongodb - MongoDb 更新旧文档
- python - 在python中列出多个单独的字典?
- wordpress-gutenberg - 如何验证 Gutenberg 插件中的元框
- image - 选择编辑器中插入的图像时,CKEditor 4.10 工具栏中的中心对齐被禁用
- php - 如何在点击 php 时强制刷新?