Мне интересно, если это безопасный способ установить токен, если на самом деле не создан токен, я его генерирую и использую во всех приложениях и в этих формах. Один токен за сеанс?
if (!isset($_SESSION['token'])) {
$data['token'] = uniqid(rand(), true);
session_regenerate_id();
$_SESSION['token'] = $data['token'];
}
Было бы необходимо очистить токен от поданной формы? или просто остаться с ним, хотя я представил форму?