Так что я читаю вокруг и был действительно озадачен наличием токена CSRF, нужно ли мне генерировать новый токен для каждого запроса, или только за час или что-то еще?

<code>$data['token'] = md5(uniqid(rand(), true));
$_SESSION['token'] = $data['token'];
</code>

Но, скажем, лучше генерировать токен каждый час, тогда мне потребуются две сессии: токен, истечение срока действия,

И как мне перейти к форме? Просто поместите echo $ _SESSION ['token'] в форму скрытого значения, а затем сравните при отправке?