Symfony отключить защиту CSRF для формы классов с помощью метода get - PullRequest
Новая
       18

Symfony отключить защиту CSRF для формы классов с помощью метода get

0 голосов
/ 14 сентября 2018

Я имею бесклассовую форму, использую метод GET и не могу отключить защиту csrf.Я хочу использовать метод GET, потому что пользователь должен иметь возможность дать ссылку на его / ее поиск.Когда пользователь отправляет форму, в URL появляется _token.Если другой пользователь попытается использовать его, вы знаете: «Маркер CSRF недействителен. Пожалуйста, попробуйте повторно отправить форму».Появляется.

Это функция в контроллере: 

 /**
 * @Route("/tips/all", name="all_tips")
 */
public function listAction(Request $request)
{
    $period = 0;
    $sport = array('3', '4', '15', '19', '20', '29', '33');
    $defaultData = array(
        'csrf_protection' => false,
        'period' => 0,
        'sport' => $sport,
    );
    $form = $this->createFormBuilder($defaultData)
        ->add('period', 'choice',
            array('choices' => array(
                '0' => "All time",
                '1' => "Last month",
                '2' => "Last 3 months",
                '3' => "Last year",
            ),
                'expanded' => false,
                'multiple' => false,
            )
        )
        ->add('sport', 'choice',
            array('choices' => array(
                '3' => 'Baseball',
                '4' => 'Basketball',
                '15' => 'Football',
                '19' => 'Hockey',
                '29' => 'Soccer',
                '33' => 'Tennis',
            ),
                'expanded' => true,
                'multiple' => true,
                'data' => $sport,
            ))
        ->add('send', 'submit')
        ->setMethod('GET')
        ->getForm();

    $form->handleRequest($request);

    if ($form->isSubmitted() && $form->isValid()) {
        $data = $form->getData();
        $period = $data['period'];
        $sport = $data['sport'];
    }

    $em = $this->getDoctrine()->getManager();
    $addSport = !empty($sport) ? '  p.sport in (' . implode(',', $sport) . ')' : '';
    $dql = "
        SELECT
            p
        FROM
            AppBundle:Predictions p
        WHERE " .
        $addSport .
        $this->fromTo($period, 'dql');
    $query = $em->createQuery($dql);
    $paginator = $this->get('knp_paginator');
    $pagination = $paginator->paginate(
        $query, $request->query->getInt('page', 1), 50, array(
            'defaultSortFieldName' => 'p.predictDate',
            'defaultSortDirection' => 'DESC',
        )
    );
    return $this->render('AppBundle:Tips:all.html.twig', array(
        'pagination' => $pagination,
        'form' => $form->createView(),
    ));
}

Это код в ветке 

{{ form_start(form) }}
{{ form_widget(form) }}
{{ form_end(form) }}

Моя версия Symfony v2.8.45.

Я пытался передать 'csrf_protection' => false, в параметрах по умолчанию, но, похоже, не работает.

Что я делаю не так?

Редактировать: Мех, я только что увидел возможность для инъекции SQL.:-( Я это исправлю.

1 Ответ

0 голосов
/ 14 сентября 2018

Проблема в том, что вы добавили опцию csrf_protection в массив данных вместо массива опций.Объявление метода createFormBuilder: 

protected function createFormBuilder($data = null, array $options = array())

Таким образом, вы должны изменить свой код следующим образом: 

$defaultData = array(
    'period' => 0,
    'sport' => $sport,
);

$options = array('csrf_protection' => false);

$form = $this->createFormBuilder($defaultData, $options)
        ...
...