Как вы тестируете модуль Zend_Form, который включает элемент формы CSRF? - PullRequest
Новая
       19

Как вы тестируете модуль Zend_Form, который включает элемент формы CSRF?

6 голосов
/ 10 июля 2009

Я использую скрытый хеш-элемент CSRF с Zend_Form и пытаюсь выполнить модульное тестирование входа в систему, но не знаю, как написать модульный тест для включения этого элемента. Заглянул в документы и прочитал столько учебников, сколько смог найти. Я даже исключил их всех , но никто не упоминает об этом.

Ответы [ 5 ]

9 голосов
/ 22 августа 2010

Значение Csrf генерируется каждый раз при визуализации формы. Скрытый элемент формы заполняется этим значением. Это значение также сохраняется в сеансе. После отправки формы проверка проверяет, сохраняется ли значение, отправленное из формы, в сеансе, если нет, то проверка завершается неудачно. Важно, чтобы форма отображалась во время теста (чтобы она могла генерировать скрытое значение и сохранять его в сеансе), затем мы можем извлечь то, что является скрытым значением, из визуализированного html, а позже мы можем добавить скрытое значение хеша в наш запрос. Рассмотрим этот пример: 

function testAddPageStoreValidData()
{
    // render the page with form 
    $this->dispatch('/form-page');

    // fetch content of the page 
    $html = $this->getResponse()->getBody();

    // parse page content, find the hash value prefilled to the hidden element
    $dom = new Zend_Dom_Query($html);
    $csrf = $dom->query('#csrf')->current()->getAttribute('value');

    // reset tester for one more request
    $this->resetRequest()
         ->resetResponse();

    // now include $csrf value parsed from form, to the next request
    $this->request->setMethod('POST')
                  ->setPost(array('title'=>'MyNewTitle',
                                  'body'=>'Body',
                                  'csrf'=>$csrf));
    $this->dispatch('/form-page');

    // ...
}
3 голосов
/ 12 июля 2009

В сеансе хранится правильный хеш, а элемент формы Hash имеет экземпляр Zend_Session_Namespace, который содержит пространство имен для хеша.

Чтобы выполнить модульное тестирование элемента, вы должны заменить экземпляр Zend_Session_Namespace в элементе (на setSession) на созданный вами самостоятельно, который содержит правильный хеш (хеш хранится в ключе "hash")

Для дальнейших примеров вы можете посмотреть на модульные тесты Zend Framework для класса Zend_Form_Element_Hash. Я бы предположил, что им также пришлось иметь дело с этим.

1 голос
/ 06 января 2015

Решением для ZF2 является создание вашей формы в тесте и получение значения из элемента формы csrf: 

        $form = new  \User\Form\SignupForm('create-user');
        $data = [
            'security' => $form->get('security')->getValue(),
            'email' => 'test@test.com',
            'password' => '123456',
            'repeat-password' => '123456',
        ];
        $this->dispatch('/signup', 'POST', $data);
1 голос
/ 26 апреля 2012

Я ответил на более свежий вопрос, похожий на этот. Я также привожу здесь свой ответ на случай, если он кому-нибудь поможет в будущем.

Недавно я нашел отличный способ тестирования форм с элементами хеша. Это будет использовать фиктивный объект, чтобы заглушить хеш-элемент, и вам не придется беспокоиться об этом. Вам даже не нужно будет делать session_start или что-то подобное. Вам также не придется «предварительно» представлять форму.

Сначала создайте класс 'stub', например, так: 

class My_Form_Element_HashStub extends Zend_Form_Element_Hash
{
    public function __construct(){}
}

Затем добавьте в форму следующее: 

class MyForm extends Zend_Form
{

    protected $_hashElement;

    public function setHashElement( Zend_Form_Hash_Element $hash )
    { 
        $this->_hashElement = $hash; 
        return $this; 
    }

    protected function _getHashElement( $name = 'hashElement' )
    { 
        if( !isset( $this->_hashElement )
        {
            if( isset( $name ) )
            {
                $element = new Zend_Form_Element_Hash( $name, 
                                                  array( 'id' => $name ) );
            }
            else
            {
                $element = new Zend_Form_Element_Hash( 'hashElement', 
                                        array( 'id' => 'hashElement' ) );
            }

            $this->setHashElement( $element );
            return $this->_hashElement;
        }
    }

    /**
     * In your init method you can now add the hash element like below
     */
    public function init()
    {
        //other code
        $this->addElement( $this->_getHashElement( 'myotherhashelementname' );
        //other code
    }
}

Метод set существует только для тестирования. Возможно, вы не будете использовать его вообще во время реального использования, но теперь в phpunit вы можете исправить следующее. 

class My_Form_LoginTest extends PHPUnit_Framework_TestCase
{

    /**
     *
     * @var My_Form_Login
     */
    protected $_form;
    /**
     *
     * @var PHPUnit_Framework_MockObject_MockObject
     */
    protected $_hash;

    public function setUp()
    {
        parent::setUp();
        $this->_hash = $this->getMock( 'My_Form_Element_HashStub' );

        $this->_form = new My_Form_Login( array(
                    'action'                    => '/',
                    'hashElement'               => $this->_hash
    }

    public function testTrue()
    {   
        //The hash element will now always validate to true
        $this->_hash
             ->expects( $this->any() )
             ->method( 'isValid' )
             ->will( $this->returnValue( true ) );

        //OR if you need it to validate to false
        $this->_hash
             ->expects( $this->any() )
             ->method( 'isValid' )
             ->will( $this->returnValue( true ) );
    }
}

Вы ДОЛЖНЫ создать свою собственную заглушку. Вы не можете просто вызвать метод phpunit getMockObject(), потому что это непосредственно расширит элемент хеша, а обычный элемент хеша делает «злые» вещи в своем конструкторе.

С этим методом вам даже не нужно подключаться к базе данных для проверки ваших форм! Мне понадобилось время, чтобы подумать об этом.

Если хотите, вы можете вставить метод setHashElement() (вместе с переменной и методом get) в некоторый базовый класс FormAbstract.

ПОМНИТЕ, в phpunit вы ДОЛЖНЫ передавать элемент hash во время построения формы. Если вы этого не сделаете, ваш метод init() будет вызван до того, как ваш хэш заглушки может быть установлен с помощью метода set, и вы в конечном итоге будете использовать обычный элемент хеша. Вы будете знать, что используете обычный хеш-элемент, потому что, возможно, у вас возникнет ошибка сеанса, если вы НЕ подключены к базе данных.

Дайте мне знать, если вы найдете это полезным или если вы его используете.

1 голос
/ 12 июля 2009

Я установил переменную окружения в моем файле Apache vhost, который сообщает коду, на каком сервере он работает: разработка, постановка или производство

Строка для файла vhost: 

SetEnv SITE_ENV "dev"

Тогда я просто заставляю свои формы реагировать на соответствующую среду: 

if($_SERVER['SITE_ENV']!='dev')
{
   $form_element->addValidator($csrf_validator);
}

Я использую эту же технику для многих вещей. Например, если это dev, я перенаправляю всю исходящую почту мне и т. Д.

...