Vale, de acuerdo.
Entonces centremonos en:
Código PHP:
<?php
$token = md5(uniqid(rand(),TRUE));
?>
Se genera un token de esa forma, que se almacena en una variable de sesión en el momento en el que el usuario hace login.
Por cada petición que hace el usuario se lee una variable GET o COOKIE que éste envía y que contiene el token generado, el cual se compara con la variable de SESSION.
Alguien podrá decir, así es más seguro, ya que el atacante no sólo tiene que obtener el id de sesión, si no también el parámetro GET o la COOKIE. A esto yo digo, si el atacante ha sido capaz de obtener el id de sesión, que obtenga un parámetro GET o una COOKIE es igual de trivial, ¿no?
Saludos.