Hocam session_regenerate ile yeni bir "session id" oluşturun ve kullanıcının bu session idsine random csrf atayın gerekirse ipye de kontrol ettirin hatta user agent bilgilerine dahi atayabilirsiniz, bunu veri post edildiğinde kontrol ettirin, güvenli yolları bunlar