Forms symfony使用get方法禁用classles窗体的csrf保护
我有无类表单,使用GET方法,无法禁用csrf保护。 我想使用GET方法,因为用户必须有选项来提供指向他/她的搜索的链接。当用户提交表单时,URL中会出现\u标记。如果另一个用户尝试使用它,您知道,“CSRF令牌无效。请尝试重新提交表单。”此时会出现 这是控制器中的功能:Forms symfony使用get方法禁用classles窗体的csrf保护,forms,symfony,get,csrf,Forms,Symfony,Get,Csrf,我有无类表单,使用GET方法,无法禁用csrf保护。 我想使用GET方法,因为用户必须有选项来提供指向他/她的搜索的链接。当用户提交表单时,URL中会出现\u标记。如果另一个用户尝试使用它,您知道,“CSRF令牌无效。请尝试重新提交表单。”此时会出现 这是控制器中的功能: /** * @Route("/tips/all", name="all_tips") */ public function listAction(Request $request) { $period = 0;
/**
* @Route("/tips/all", name="all_tips")
*/
public function listAction(Request $request)
{
$period = 0;
$sport = array('3', '4', '15', '19', '20', '29', '33');
$defaultData = array(
'csrf_protection' => false,
'period' => 0,
'sport' => $sport,
);
$form = $this->createFormBuilder($defaultData)
->add('period', 'choice',
array('choices' => array(
'0' => "All time",
'1' => "Last month",
'2' => "Last 3 months",
'3' => "Last year",
),
'expanded' => false,
'multiple' => false,
)
)
->add('sport', 'choice',
array('choices' => array(
'3' => 'Baseball',
'4' => 'Basketball',
'15' => 'Football',
'19' => 'Hockey',
'29' => 'Soccer',
'33' => 'Tennis',
),
'expanded' => true,
'multiple' => true,
'data' => $sport,
))
->add('send', 'submit')
->setMethod('GET')
->getForm();
$form->handleRequest($request);
if ($form->isSubmitted() && $form->isValid()) {
$data = $form->getData();
$period = $data['period'];
$sport = $data['sport'];
}
$em = $this->getDoctrine()->getManager();
$addSport = !empty($sport) ? ' p.sport in (' . implode(',', $sport) . ')' : '';
$dql = "
SELECT
p
FROM
AppBundle:Predictions p
WHERE " .
$addSport .
$this->fromTo($period, 'dql');
$query = $em->createQuery($dql);
$paginator = $this->get('knp_paginator');
$pagination = $paginator->paginate(
$query, $request->query->getInt('page', 1), 50, array(
'defaultSortFieldName' => 'p.predictDate',
'defaultSortDirection' => 'DESC',
)
);
return $this->render('AppBundle:Tips:all.html.twig', array(
'pagination' => $pagination,
'form' => $form->createView(),
));
}
这是twig中的代码
{{ form_start(form) }}
{{ form_widget(form) }}
{{ form_end(form) }}
我的Symfony版本是v2.8.45
我试图在默认选项中通过'csrf\u protection'=>false,,但似乎不起作用
我做错了什么
编辑:嗯,我刚刚看到了SQL注入的可能性-(我会解决它。问题是您在数据数组中添加了csrf_保护选项,而不是选项数组。createFormBuilder方法的声明是:
protected function createFormBuilder($data = null, array $options = array())
因此,您必须按如下方式更改代码:
$defaultData = array(
'period' => 0,
'sport' => $sport,
);
$options = array('csrf_protection' => false);
$form = $this->createFormBuilder($defaultData, $options)
...
哦,我真傻。我读了很多答案两次或两次以上,但我想不出答案。谢谢!