session a kaydedilecek verinin random olması daha sağlıklıdır. zira basit bi botla formdaki "b.php?hash=" has değeri alınıp çeşitli işlemlerden geçirilip güvenlik kodu olayı etkisiz hale getirelebilir. belki substr, md5 in birkaç kez kullanımı güvenli gibi gelsede php den anlamayan birinin bu kodu kullanıp mağdur olması söz konusu.