Sorry deine erste Ausführung verstehe ich glaub ich nicht richtig.
Also was ich aktuell habe ist eine Überprüfung ob der User angemeldet ist. Sonst könnte ja jeder auch ohne große Hacker Kenntnisse einfach Daten ändern. Ich denke soweit ist das auch ganz gut.
Du sagst ich soll zwei verschiedene Token nehmen. Daraus schließe ich das der zweite Token nichts mit der Überprüfung der Anmeldung zu tun haben sollte. Ist ja auch sinnvoll.
Also erzeuge ich einen Token, schmeiße ihn in das Formular. Beim absenden überprüfe ich ob der Token stimmt? richtig so?

Wenn ich das alles so richtig wiedergegeben habe, frage ich mich wo speichere ich den Token? Du sagst in der Session Tabelle. Was ist das? Meinst du damit das $_SESSION Array?
Wie oft soll ich den Token erneuern? Was passiert wenn gerade jemand im Formular ist und der Token wird erneuert, dann ist das senden des Formulars ungültig?
Wenn der Token wirklich in der Session steht, diese jedoch von jemand fremden übernommen wurde, wie soll ich dann noch sicher sein? - wuaaahhhhhh.....

Gruß
das Problem aus den Augen verlierender
T-Rex