Cita:
Iniciado por ocp001a 
Un token que se genere con un rand cada vez que cambias de página no sería muy práctico, yo tengo esta función que genera el token:
function token($dbname,$ip){
return sha1(session_id().phpversion().$dbname.$ip.$_SERVE R ['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT']);
}
No es estrictamente necesario pasarle el nombre de la bd y de la ip, aunque eso aumenta aún más la improbabilidad de que alguien genere un token igual.
Interesante tu comentario, no había pensado en los problemas de tener un token excesivamente random (que cambien en cada página para el mismo usuario...).
Probaré algo como me indicas.
Respecto a que no se puedan realizar peticiones a un script concreto, la única forma es la de incluir tantos <FILE> ....</FILE> como archivos quiera proteger?