Tak więc czytam i byłem naprawdę zdezorientowany o posiadaniu tokena CSRF, gdziekolwiek powinienem wygenerować nowy token na każde żądanie, czy tylko na godzinę czy coś?

<code>$data['token'] = md5(uniqid(rand(), true));
$_SESSION['token'] = $data['token'];
</code>

Ale powiedzmy, że lepiej jest generować token co godzinę, wtedy potrzebowałbym dwóch sesji: token, wygasanie,

A jak mam przejść do formularza? Po prostu umieść echo $ _SESSION ['token'] w formularzu wartości ukrytej, a następnie porównaj na przesłanym?