SHA256, MD5 bu yöntemlerin token saklamak için yeterince güvenli olduğunu düşünmüyorum. Üst düzey güvenlik istiyorsanız lütfen priv. key kullanmaya özen gösterin. Örn: (username=petri, pass=123456, salt=112548127512(timestamp olarak alabilirsiniz, ya da farkli bir yontem). Kullanıcının kayıt olurken girdiği şifreyi belirlediğiniz salt ile harmanlayarak hashlerseniz çok daha ileri seviye güvenliğe ulaşabilirsiniz. Tabii her şey hashlemekle bitmiyor. CSRF hakkında biraz araştırma yapın. Her form post işleminde her kullanıcıya özel olarak tanımlanan (sessionda token olarak tutabilirsiniz) keyleri kullanın ve kontrolsüz iş yapmayın. Token kullanmazsanız o kullanıcının haberi olmadan o hesap ile ilgili işlem yapılması da mümkün(kullanıcının giriş yapıp yapmadığını session yada cookie ile kontrol etseniz bile).

Yukarıdakiler gibi birçok detay var, genelde frameworkler bu açıklara karşı önlem alınarak geliştiriliyor. Frameworklerin kod yapılarını inceleyerek fikir sahibi olabilirsiniz. (Bknz: laravel csrf exploit türünü engelleyen bir fonksiyona sahiptir.)