1. создаем случайный маркер доступа и добавляем его в массив $_SESSION
<?php
$token = md5(uniqid(mt_rand() . microtime()));
$_SESSION['token'] = $token;
?>
2. к каждой форме добавляем hidden-поле с идентификатором
<?php
echo '<input name="token" type="hidden" value="$token " />';
?>
3. теперь при каждом запросе необходимо проверять корректность маркера доступа
<?php
$token = $_POST['token'];
if($_SESSION['token'] == $token) {
$_SESSION['token'] = '';
} else {
die("Хакер. Ты лох!"
;
}
?>
как то так 
Изм. 1 раз. / Посл. изм. (17 дек 2014, 08:06)
дабы облегчить жизнь владельцам сайтов с кучей форм, как временное решение можно через буфер вывода ob_get_contents() вытянуть содержимое, и уже с помощью регулярок добавить token
Не помню. Давно это учил. Просто выклал кусок своего кода. У меня всё норм работает.
Ну давай сделай лучше, или лалка?
Вы просто сами не способны шевелить мозгами, вот и обсуждаете другой код негативно.
После этого и делай людям добро....)
А сайты тех людей, которые негативно обсуждают мой код не предоставляя доказательств, знайте: увижу адрес вашего сайта на форуме, сначала буду проверять на дыры, а потом взламывать без жалости...вы же такие мегакодеры...
