PHP token sistemi yapımı

Arkadaşlar PHP'de uzmanlaşmaya başladım yalnız güvenlik konusunda sıkıntılıyım açıkları tamamen nasıl kapayacağımı bilmiyorum. Sitemde CSRF açığı var ve bunun çözümü token sistemi gibi bir şeymiş galiba, bana basit olarak token sistemi nasıl yapılır anlatacak bir kardeşim var mı?

Not: PHP PDO kullanmıyorum, direkt normal PHP.

Selamlar. Token her islem icin yenisi uretilen benzersiz bir string diyebiliriz. HTTP iletisimi kurulan her islemden once sunucu tarafindan bir benzersiz token istemciye gonderilmeli, istemci sunucuya ilgili istegi yollarken token bilgisini de gondermeli, sunucu tarafinda islem yapilmadan once gonderilen ve alinan tokenler karsilastirilmali eger eslesme varsa islem yapilmali.

Token olusturmak icin bir cok yontem var fakat bir cogu kriptografik olarak guvenli degil. Bence en guvenli methodlardan birisi random_bytes() fonksiyonu ile belli uzunlukta rastgele byte uretip bin2hex() fonksiyonu ile bunu stringe cevirmek.

Konuyla ilgili daha detayli bilgi icin