Fatal编程技术网
  • forms/
  • Forms symfony使用get方法禁用classles窗体的csrf保护

Forms symfony使用get方法禁用classles窗体的csrf保护

forms symfony

Forms symfony使用get方法禁用classles窗体的csrf保护,forms,symfony,get,csrf,Forms,Symfony,Get,Csrf,我有无类表单,使用GET方法,无法禁用csrf保护。 我想使用GET方法,因为用户必须有选项来提供指向他/她的搜索的链接。当用户提交表单时,URL中会出现\u标记。如果另一个用户尝试使用它,您知道,“CSRF令牌无效。请尝试重新提交表单。”此时会出现 这是控制器中的功能: /** * @Route("/tips/all", name="all_tips") */ public function listAction(Request $request) { $period = 0;

我有无类表单,使用GET方法,无法禁用csrf保护。 我想使用GET方法,因为用户必须有选项来提供指向他/她的搜索的链接。当用户提交表单时,URL中会出现\u标记。如果另一个用户尝试使用它,您知道,“CSRF令牌无效。请尝试重新提交表单。”此时会出现

这是控制器中的功能:

 /**
 * @Route("/tips/all", name="all_tips")
 */
public function listAction(Request $request)
{
    $period = 0;
    $sport = array('3', '4', '15', '19', '20', '29', '33');
    $defaultData = array(
        'csrf_protection' => false,
        'period' => 0,
        'sport' => $sport,
    );
    $form = $this->createFormBuilder($defaultData)
        ->add('period', 'choice',
            array('choices' => array(
                '0' => "All time",
                '1' => "Last month",
                '2' => "Last 3 months",
                '3' => "Last year",
            ),
                'expanded' => false,
                'multiple' => false,
            )
        )
        ->add('sport', 'choice',
            array('choices' => array(
                '3' => 'Baseball',
                '4' => 'Basketball',
                '15' => 'Football',
                '19' => 'Hockey',
                '29' => 'Soccer',
                '33' => 'Tennis',
            ),
                'expanded' => true,
                'multiple' => true,
                'data' => $sport,
            ))
        ->add('send', 'submit')
        ->setMethod('GET')
        ->getForm();

    $form->handleRequest($request);

    if ($form->isSubmitted() && $form->isValid()) {
        $data = $form->getData();
        $period = $data['period'];
        $sport = $data['sport'];
    }

    $em = $this->getDoctrine()->getManager();
    $addSport = !empty($sport) ? '  p.sport in (' . implode(',', $sport) . ')' : '';
    $dql = "
        SELECT
            p
        FROM
            AppBundle:Predictions p
        WHERE " .
        $addSport .
        $this->fromTo($period, 'dql');
    $query = $em->createQuery($dql);
    $paginator = $this->get('knp_paginator');
    $pagination = $paginator->paginate(
        $query, $request->query->getInt('page', 1), 50, array(
            'defaultSortFieldName' => 'p.predictDate',
            'defaultSortDirection' => 'DESC',
        )
    );
    return $this->render('AppBundle:Tips:all.html.twig', array(
        'pagination' => $pagination,
        'form' => $form->createView(),
    ));
}
这是twig中的代码

{{ form_start(form) }}
{{ form_widget(form) }}
{{ form_end(form) }}
我的Symfony版本是v2.8.45

我试图在默认选项中通过'csrf\u protection'=>false,,但似乎不起作用

我做错了什么

编辑:嗯,我刚刚看到了SQL注入的可能性-(我会解决它。

问题是您在数据数组中添加了csrf_保护选项,而不是选项数组。createFormBuilder方法的声明是:

protected function createFormBuilder($data = null, array $options = array())
因此,您必须按如下方式更改代码:

$defaultData = array(
    'period' => 0,
    'sport' => $sport,
);

$options = array('csrf_protection' => false);

$form = $this->createFormBuilder($defaultData, $options)
        ...
哦,我真傻。我读了很多答案两次或两次以上,但我想不出答案。谢谢!