S4l1h adlı üyeden alıntı: mesajı görüntüle
Kodun oldukça güvenli fakat bir kaç eksik var.
$_SERVER['PHP_SELF']
xss açığı oluşturur.
bknz. Temizlemek lazım kullanmadan önce.
xss açığı olunca sayfadaki key değeri çok rahat alınabilinir ve kullanıcının haberi olmadan veri postlanabilinir.
CSRF için key yerine referrer kontrolü yapmak daha iyi olur, çünkü javascript ile sahte referrer gönderilemez.
Kodu genel kullanım için vermedim zaten, herkesin kendine göre çeşitli güvenlik fonksiyonları var, kullanmak isteyen elbette güvenlik önlemlerini alacak.

Key değeri elbette çok basitçe alınabilir, buradaki key değerinin amacı adres satırına direk POST yapılmasını engellemek içindir, yani saldırgan önce ilk önce formu mutlaka ziyaret etmelidir, CURL ile rahatça key değeri alınıp POST gönderilebilir ama tek sefer, ard arda gönderim belirlenen süre kadar yapılamaz, yapılabilmesi için mutlaka ip değişilmesi gerekir.

Birde şu cümleyi hiç anlamadım;

Alıntı
CSRF için key yerine referrer kontrolü yapmak daha iyi olur, çünkü javascript ile sahte referrer gönderilemez.
CURL ile referer kontrolü basitçe aşılabiliyor biliyorsunuz, javascriptin konuyla alakasını anlamadım ?