$token = $_SESSION [‘token’] = md5(uniqid(mt_rand(),true));

然后这个令牌在登录表单中作为隐藏输入回显,并且在提交的PHP代码上验证登录也会检查此令牌,如：

public function isTokenValid()
{
  return (!isset($_SESSION['token']) || $this->_token != $_SESSION['token'])? 0 : 1;
}

这个令牌有什么用？

编辑：此页面描述了它的使用：https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet