我正在使用带有Zend_Form的CSRF隐藏哈希元素并尝试单元测试登录但不知道如何编写单元测试以包含该元素。查看文档并阅读尽可能多的教程。我甚至delicioused them all,但没有人提到这一点。
答案 0 :(得分:9)
每次呈现表单时都会生成Csrf值。表单的隐藏元素预先填充该值。该值也存储在会话中。 提交表单后,验证检查表单中发布的值是否存储在会话中,否则验证失败。至关重要的是,表单必须在测试期间呈现(因此它可以生成隐藏值并将其存储到会话中),然后我们可以从渲染的html中提取隐藏的值,稍后我们可以将隐藏的哈希值添加到我们的要求。 考虑这个例子:
function testAddPageStoreValidData()
{
// render the page with form
$this->dispatch('/form-page');
// fetch content of the page
$html = $this->getResponse()->getBody();
// parse page content, find the hash value prefilled to the hidden element
$dom = new Zend_Dom_Query($html);
$csrf = $dom->query('#csrf')->current()->getAttribute('value');
// reset tester for one more request
$this->resetRequest()
->resetResponse();
// now include $csrf value parsed from form, to the next request
$this->request->setMethod('POST')
->setPost(array('title'=>'MyNewTitle',
'body'=>'Body',
'csrf'=>$csrf));
$this->dispatch('/form-page');
// ...
}
答案 1 :(得分:3)
正确的哈希存储在会话中,Hash表单元素有一个Zend_Session_Namespace实例,其中包含哈希的命名空间。
要对元素进行单元测试,您可以将元素中的Zend_Session_Namespace实例(使用setSession)替换为您自己创建的实例,其中包含正确的哈希值(哈希值存储在键“哈希”中)
有关更多示例,您可以查看Zend_Form_Element_Hash类的Zend Framework单元测试。我认为他们也必须处理这个问题。
答案 2 :(得分:1)
我在Apache vhost文件中设置了一个环境变量,该文件告诉代码运行它的服务器: 开发,分期或生产
vhost文件的行是:
SetEnv SITE_ENV "dev"
然后我只是让我的表单对适当的环境做出反应:
if($_SERVER['SITE_ENV']!='dev')
{
$form_element->addValidator($csrf_validator);
}
我对很多东西使用相同的技术。例如,如果它是开发者,我将所有外发电子邮件重定向到我,等等。
答案 3 :(得分:1)
我回答了一个类似这个问题的近期问题。我也在这里提出我的答案,以防将来帮助任何人。
我最近发现了一种使用哈希元素测试表单的好方法。这将使用模拟对象来删除哈希元素,您不必担心它。你甚至不需要这样做session_start或任何东西。您也不必“预呈现”表格。
首先创建一个'stub'类,如此
class My_Form_Element_HashStub extends Zend_Form_Element_Hash
{
public function __construct(){}
}
然后,将以下内容添加到表单中。
class MyForm extends Zend_Form
{
protected $_hashElement;
public function setHashElement( Zend_Form_Hash_Element $hash )
{
$this->_hashElement = $hash;
return $this;
}
protected function _getHashElement( $name = 'hashElement' )
{
if( !isset( $this->_hashElement )
{
if( isset( $name ) )
{
$element = new Zend_Form_Element_Hash( $name,
array( 'id' => $name ) );
}
else
{
$element = new Zend_Form_Element_Hash( 'hashElement',
array( 'id' => 'hashElement' ) );
}
$this->setHashElement( $element );
return $this->_hashElement;
}
}
/**
* In your init method you can now add the hash element like below
*/
public function init()
{
//other code
$this->addElement( $this->_getHashElement( 'myotherhashelementname' );
//other code
}
}
set方法仅用于测试目的。在实际使用中你可能根本不会使用它,但是现在你可以在phpunit中使用以下内容。
class My_Form_LoginTest extends PHPUnit_Framework_TestCase
{
/**
*
* @var My_Form_Login
*/
protected $_form;
/**
*
* @var PHPUnit_Framework_MockObject_MockObject
*/
protected $_hash;
public function setUp()
{
parent::setUp();
$this->_hash = $this->getMock( 'My_Form_Element_HashStub' );
$this->_form = new My_Form_Login( array(
'action' => '/',
'hashElement' => $this->_hash
}
public function testTrue()
{
//The hash element will now always validate to true
$this->_hash
->expects( $this->any() )
->method( 'isValid' )
->will( $this->returnValue( true ) );
//OR if you need it to validate to false
$this->_hash
->expects( $this->any() )
->method( 'isValid' )
->will( $this->returnValue( true ) );
}
}
您必须创建自己的存根。你不能只调用phpunit方法getMockObject(),因为它会直接扩展hash元素,而普通的hash元素会在其构造函数中执行'evil'。
使用此方法,您甚至无需连接到数据库来测试表单!我花了一段时间才想到这一点。
如果需要,可以将setHashElement()方法(以及变量和get方法)推送到某个FormAbstract基类中。
请记住,在phpunit中,您必须在表单构造期间传递哈希元素。如果不这样做,则在使用set方法设置存根哈希之前将调用init()方法,并且最终将使用常规哈希元素。你会知道你正在使用常规哈希元素,因为如果你没有连接到数据库,你可能会遇到一些会话错误。
如果您觉得有用或者使用它,请告诉我。
答案 4 :(得分:1)
ZF2的解决方案是在测试中创建表单,并从csrf表单元素中获取值:
$form = new \User\Form\SignupForm('create-user');
$data = [
'security' => $form->get('security')->getValue(),
'email' => 'test@test.com',
'password' => '123456',
'repeat-password' => '123456',
];
$this->dispatch('/signup', 'POST', $data);