在new Pagination($config)的时候，除了你要的配置，在config里加入'params' => ['w' => '关键词']，也就是

$config = ['params' => ['w' => '关键词']]

基本可以肯定你的控制器的behaviors方法的rules值写错了，看好了：rules的每个值是一个数组，大概像这样
rules => [['actions' => ['create',],'allow' => true,'roles' => ['@']]]，
我猜你写成了这样
rules => ['actions' => ['create',],'allow' => true,'roles' => ['@']]，
好好看看，最外层少了一层方括号

把你的$value['orderId']都打印初来，查看一下是否是你预期的值

$command = $query->createCommand($db);这里可以传入你定义的数据库连接对象，不填的话默认是application应用的db组件，也就是你在配置文件（config/main.php或者config/main-local.php）里配置的db对象，当然你也可以再配置其它的db对象，或者直接创建db对象，将其传入createCommand参数里即可

基本是不可能的，而且如果不能用，能很好调试出来，你调了吗？不会是表单验证不通过了，就来这么随便一说把

将你的控制器的behaviors方法删掉就可以了，这样每个方法都可以免登录访问

1 其实你开启了控制器的enableCsrfValidation=true之后，控制器会帮你验证csrf的，你不用自己验证
2 如果想重新生成，调用一下Yii::$app->request->getCsrfToken(true)就行，记得把新生成这个csrf放到你的页面meta[name=csrf-token]的content里，便于继续调用
3 csrf的起到安全问题其实就是有这个验证（防止跨站攻击（跨站攻击，没这个值）），而没必要再变换这个值，所以没必要变换这个值