سلام
فقط من یک نکته را اضافه کنم که هدف از csrf token جلوگیری از ارسال اسپم توسط ربات ها نیست. به راحتی میشه یک ربات نوشت که اول توکن را از سایت شما بگیره و بعد درخواست های خود را ارسال کند.
فرض کنید من میدونم که شما مدیر سایت برنامه نویس هستید خوب معمولا شما به سایت تان لاگین کرده اید. از طرفی میدونم که آدرس حذف یک کاربر http://yourdomain.com/user.php?del=25
است بنابراین کافیه یه ایمیل برای شما بفرستم که توش یه عکس با آدرس لینک بالا باشه. (روشهای دیگری هم هست) تا کاربر مورد نظر بدون اینکه شما متوجه شوید پاک شود.
اما اگر آدرس حذف کاربر باشه http://yourdomain.com/user.php?del=25&token=somethindrandom
چون هکر به توکن دسترسی نداره نمیتونه از این روش استفاده کنه.
حتما مقاله php security را مطالعه کنید. تا تمامی نکات مقابله با حملات شناخته شده را در برنامه خود لحاظ کنید.