// SomeModelFormFilter.class.php
// ...
  public function configure()
  {
    $this->setWidget('status', new sfWidgetFormChoice(
      array('choices'=>self::getStatuses())
    ));

    $this->setValidator('status', new sfValidatorChoice(array(
      'choices'=>array_keys(self::getStatuses()),
      'required'=>false
    )));
  }

  public static function getStatuses()
  {
     return array(
         '' => '',
         'one'=>'Один',
         'two'=>'Два',
         'three'=>'Три'
     );
  }
//...

Оказалось, что хоть выпадающий список появляется, фильтрация не происходит.
Немного покопавшись, нашел такое решение: надо для нашего поля status, указать тип «ForeignKey».
Делаем это перекрываем родительский метод «getFields()».

// SomeModelFormFilter.class.php
// ...
  public function getFields()
  {
    $fields = parent::getFields();
    $fields['status']='ForeignKey';

    return $fields;
  }
// ...

Все, теперь работает.

В симфонии при включенной CSRF защите в форму подставляется скрытое поле с именем _csrf_token, его значение формируется как md5 хеш от секретной строки, имени класса и идентификатора сессии (session_id).
Пример формирования значения токена в Symfony:

  // sfForm.class.php
  public function getCSRFToken($secret = null)
  {
    ....
    return md5($secret.session_id().get_class($this));
  }

Следовательно, если после некоторого действия, значение возвращаемое session_id() меняется, то дальнейшая валидация созданных до этого момента форм, не будет корректно обрабатываться.
Такие случаи могут возникать, например, при авторизации пользователя (sfGuardPlugin) и дальнейшей обработке форм в одном запросе.
Пример, у нас есть две формы c полями:
1. sfGuardFormSignin: signin[username], signin[password]
2. AddressForm: address[phone],address[city],… -

Мы хотим в одном запросе авторизовать пользователя с помощью логина пароля и сохранить обязательные поля из формы address
Делаем примерно так:

$this->auth_form = !$this->getUser()->isAuthenticated() ? new sfGuardFormSignin() : null;
$this->address_form = new AddressForm();
if ($request->isMethod('post'))
{
  // авторизуемся
  if (!$this->getUser()->isAuthenticated())
  {
    $this->auth_form->bind($request->getParameter('signin'));
    if ($this->auth_form->isValid())
    {
      $values = $this->auth_form->getValues();

      $this->getUser()->signin($values['user'], array_key_exists('remember', $values) ? $values['remember'] : false);
      $this->auth_form=null;
    }
  }

  // обрабатываем форму адреса
  $this->address_form->bind($request->getParameter('address'));
  if ($this->address_form->isValid())
  {
    // что-то делаем с формой, например сохраняем
    $this->address_form->save();
    //...

    $this->redirect('@somepath');
  }

}

Допустим, авторизация прошла успешно, но валидация формы адреса не прошла. Тогда нам покажется форма адреса с ошибками, но исправив ошибки мы все равно получим не валидную форму так как session_id изменился, а форма адреса создавалась с учетом старого его значения и
нам будет в любом случае выдавать ошибку «csrf token: Required.».
Как избежать подобного?
Способ который я применил (на мой взгляд не очень красивый) заключается в следующем: нужно после авторизации поставить в сессию атрибут
о временном отключении «CSRF Protetion» перед обработкой форм проверять данный атрибут и отключать защиту CSRFT.
Пример:

$this->auth_form = !$this->getUser()->isAuthenticated() ? new sfGuardFormSignin() : null;
$this->address_form = new AddressForm();
if ($request->isMethod('post'))
{

  // Авторизация
  if (!$this->getUser()->isAuthenticated())
  {
    $this->auth_form->bind($request->getParameter('signin'));
    if ($this->auth_form->isValid())
    {
      $values = $this->auth_form->getValues();

      $this->getUser()->signin($values['user'], array_key_exists('remember', $values) ? $values['remember'] : false); // <<< здесь меняется session_id
      $this->getUser()->setAttribute('disable_csrf',true); // <<< снимаем защиту CSRF
      $this->auth_form=null;
    }
  }

  // Отключаем защиту если требуется
  if ($this->getUser()->getAttribute('disable_csrf',false))
  {
    sfForm::disableCSRFProtection();
    unset ($this->address_form[sfForm::getCSRFFieldName()]);
  }

  // обработка формы адреса
  $this->address_form->bind($request->getParameter('address'));

  if ($this->address_form->isValid())
  {

    // что-то делаем с формой, например сохраняем
    $this->address_form->save();
    //...

    $this->getUser()->setAttribute('disable_csrf',null); // если все хорошо включаем защиту CSRF обратно
    $this->redirect('@somepath');
  }

}

Все вышеприведенное тестировалось на версии symfony 1.2, в этой версии CSRF защиту можно отключить только глобально. В более новых версиях фреймворка (1.3, 1.4), появилась возможность отключать защиту локально для конкретной формы по отдельности, что более правильно.
З.Ы. Если кто-то скажет, как подобное можно более красиво решить, буду очень благодарен

Все формы у нас наследуются от BaseFormPropel, следовательно открываем файл в нашем проекте $project/lib/form/BaseFormPropel.class.php и в методе класса setup(), пишем нужный нам код.

abstract class BaseFormPropel extends sfFormPropel
{
  public function setup()
  {
    if ($this->isI18n())
    {
      $culture = sfContext::getInstance()->getUser()->getCulture();
      $this->embedI18n(array($culture));

      $icons = sfConfig::get('app_site_language_icons'); // get icon array
      $this->widgetSchema->setLabel($culture, '<img src="'.$icons[$culture].'" width="24" height="24" alt="" />');
    }
  }
}

В файле app.yml у меня хранятся соответствия названий культур и иконок флажков.

all:
  site:
    language_icons:
        ru: /images/flags/24/ru.png
        en: /images/flags/24/en.png
        de: /images/flags/24/de.png

В итоге получаем вот такой вид формы: