Forum PHP.pl > [Symfony]formularze i csrf

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [Symfony]formularze i csrf

prohol

6.03.2009, 14:55:08

witam

Mam problem z formularzami, tzn dokladniej z ochrona przez csrf. (symfony 1.2.4)

Przyusuwaniu kategori z formularza edycji dostaje blad o wymaganym csrf

500 | Internal Server Error | sfValidatorErrorSchema
_csrf_token [Required.]
stack trace
..

Formularze wygenerowalem za pomoca cli. Obecnie plik formluarza wyglada tak:

[PHP] pobierz, plaintext 
<?php
class BaseJmdataCategoriesForm extends BaseFormPropel
{
  public function setup()
  {
    
    $this->setWidgets(array(
      'id'    => new sfWidgetFormInputHidden(),
      'name'  => new sfWidgetFormInput(),
      'categories' => new sfWidgetFormPropelChoice(array('model'=>'JmdataCategories', 'add_empty'=> false)),
      'link'  => new sfWidgetFormInput(),
    ));
 
   /* $this->setValidators(array(
      'id'    => new sfValidatorPropelChoice(array('model' => 'JmdataCategories', 'column' => 'id', 'required' => false)),
      
      'name'  => new sfValidatorString(array('max_length' => 150, 'required' => false)),
      'link'  => new sfValidatorString(array('max_length' => 255, 'required' => false)),
    ));
    */
   
    $this->widgetSchema->setNameFormat('%s');
    $this->disableCSRFProtection();
 
    $this->errorSchema = new sfValidatorErrorSchema($this->validatorSchema);
 
    parent::setup();
  }
 
  public function getModelName()
  {
    return 'JmdataCategories';
  }
 
}
?>
[PHP] pobierz, plaintext

Pliku JmdataCategoriesForm.class.php jest pusty, tzn bez dodatkowych ustawien itp.

Jak widac wylaczylem CSRFProtection oraz zakomentowalem validatory. Mimo to przy usuwaniu elementu dostaje powyzszy komunikat. Gdy wlacze CSRF to komunikat o wymaganym csrf token dostaje przy dodawaniu/edycji pol. Szukalem na forum symfony i nic nie pomagalo. Prosze o pomoc.

Lonas

6.03.2009, 15:15:27

A jak wygląda akcja usunięcia tej kategorii, poza tym po co to chcesz wyłączyć ?

prohol

11.03.2009, 10:56:00

Akcja jest z automatu (caly kod akcji poniewaz przy aktywacji CSRF za kazdym razem wyrzuca z walidatora "csrf token: Required". ):

[PHP] pobierz, plaintext 
<?php
class categoriesActions extends sfActions
{
  public function executeIndex(sfWebRequest $request)
  {
    $this->jmdata_categories_list = JmdataCategoriesPeer::doSelect(new Criteria());
  }
 
  public function executeNew(sfWebRequest $request)
  {
    $this->form = new JmdataCategoriesForm();
  }
 
  public function executeCreate(sfWebRequest $request)
  {
    $this->forward404Unless($request->isMethod('post'));
 
    $this->form = new JmdataCategoriesForm();
 
    $this->processForm($request, $this->form);
 
    $this->setTemplate('new');
  }
 
  public function executeEdit(sfWebRequest $request)
  {
    $this->forward404Unless($jmdata_categories = JmdataCategoriesPeer::retrieveByPk($request->getParameter('id')), sprintf('Object jmdata_categories does not exist (%s).', $request->getParameter('id')));
    $this->form = new JmdataCategoriesForm($jmdata_categories);
  }
 
  public function executeUpdate(sfWebRequest $request)
  {
    $this->forward404Unless($request->isMethod('post') || $request->isMethod('put'));
    $this->forward404Unless($jmdata_categories = JmdataCategoriesPeer::retrieveByPk($request->getParameter('id')), sprintf('Object jmdata_categories does not exist (%s).', $request->getParameter('id')));
    $this->form = new JmdataCategoriesForm($jmdata_categories);
    $this->processForm($request, $this->form);
 
    $this->setTemplate('edit');
  }
 
  public function executeDelete(sfWebRequest $request)
  {
    $request->checkCSRFProtection();
 
    $this->forward404Unless($jmdata_categories = JmdataCategoriesPeer::retrieveByPk($request->getParameter('id')), sprintf('Object jmdata_categories does not exist (%s).', $request->getParameter('id')));
    $jmdata_categories->delete();
 
    $this->redirect('categories/index');
  }
 
  protected function processForm(sfWebRequest $request, sfForm $form)
  {
    $form->bind($request->getParameter($form->getName()));
    if ($form->isValid())
    {
      $obj=$form->getObject();
      var_dump($form);
      if ($request->getParameter('categories') != 0) {
        $parent_obj=JmdataCategoriesPeer::retrieveByPK($request->getParameter('categories'));
        if ($request->getParameter('id')) {
          $obj->moveToLastChildOf($parent_obj);
          $jmdata_categories=$form->bindAndSave($values);
        }
        else {
          $obj->setName($request->getParameter('name'));
          $obj->setLink($request->getParameter('link'));
          $obj->insertAsLastChildOf($parent_obj);
          $jmdata_categories=$form->save();
        }
      }
 
     
      $this->redirect('categories/index');
    } 
  }
}
?>
[PHP] pobierz, plaintext

Jak usune z metoedy executeDelete $request->checkCSRFProtection(); to dziala dobrze ale chyba nie o to chodzi..

Czy moze ktos juz spotkal sie z tym problemem albo moze zna sposob aby rozwiazac ten problem?? Zaznaczam ze ochrona CSRF dziala dobrze w innych modulach wygenerowanych poprzez propel:build-form, natomiast dla tego jednego moduly nie dziala (model oparty na nestedset).
Dodam, ze gdy wyrzucany jest blad validatora "csrf token: Required" w kodzie strony ukryte pola id oraz csrf_token maja puste wartosci (metoda executeUpdate).

janek9

16.05.2009, 21:09:37

Sprobuj uzyc zamiast setWidgets... WidgetSchema['nazwa_pola'] = new itp..

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.