В общем задумался по этому поводу. Конечно всё стараюсь на постах делать. Но без get некоторые действия не возможны. Решил сделать так:
Есть столбец key в базе юзеров. Ключ. Шифруется ник и пароль в md5.
Например $user['key']='c123';
<?php
if($_GET['key']==$user['key'])echo "действие успешно";
?>
но как не через get? Post, сессии, куки. Хз
[мошенник] Любую простенькую защиту от csrf обойти минутное дело.
Как сделать сравнение с $user['key'] не запрашивая его через get. Например не ?id=1&ban&key=123. А ?id=1&ban но чтобы key сравнивался.
Давай на спор(1к), что если я поставлю на любой двиг защиту, ты ее не обойдешь?
Все равно не понимаю 
вообще, как ты защищаешься от хсрф?
[мошенник] Alekksss, URI как выриант
$_POST и вот хочу по ключу сравнивать.
Через пост можно тоже организовать сравнение, манов есть по этому делу в нете
