Итак, я читаю и очень смущен тем, что у меня есть токен CSRF, и я должен генерировать новый токен за каждый запрос или только час или что-то еще?
$data['token'] = md5(uniqid(rand(), true));
$_SESSION['token'] = $data['token'];
Но пусть лучше будет генерировать токен каждый час, тогда мне понадобится два сеанса: токен, истечение срока действия,
И как я могу перейти к форме? Просто поместите echo $_SESSION ['токен'] в форму скрытого значения, а затем сравните по submit?