Zabezpieczenie przed CSRF, implementacja własna Opcje

[wNogachSpisz]

Witam.
Jak w temacie.
Jest to zarazem zabezpieczenie przed wielokrotnym wysłaniem tego samego formularza.
Proszę o uwagi.

Generowanie:

[PHP] pobierz, plaintext 
function csrf_generate() {
   $time = time();
   $output = pack('L', $time);
   $crypt_key = 'ciąg znaków znany tylko serwerowi';
   $output .= hash('crc32b', $output . sprintf('%u', ip2long(long2ip(ip2long($_SERVER['REMOTE_ADDR'])))) . $crypt_key, true);
   return rtrim(base64_encode($output), '=');
}
[PHP] pobierz, plaintext 

Walidowanie:

[PHP] pobierz, plaintext 
function csrf_decode( $string ) {
   $string = base64_decode($string);
   $time = substr($string, 0, 4);
   $crypt_key = 'ciąg znaków znany tylko serwerowi';
   if ( hash('crc32b', $time . sprintf('%u', ip2long(long2ip(ip2long($_SERVER['REMOTE_ADDR'])))) . $crypt_key, true) !== substr($string, 4)) {
      return false;
   }
   return current(unpack('L', $time));
}
 
function csrf_validate() {
   if ( ! isset($_POST['csrf']) OR ! is_string($_POST['csrf']) OR '' === $csrf = $_POST['csrf'] ) {
      return false;
   }
   if ( false === $time = csrf_decode($csrf)) {
      return false;
   }
   global $session;
   if ( $time > $session->last_form_time ) {
      // aktualizujemy czas wysłania ostatniego formularza,
      // przez co wszystkie wygenerowane do tej pory tookeny tracą ważność,
      // to zabezpiecza przed wieloktornym wysłaniem tego samego formularza.
      $session->last_form_time = time();
      $session->update();
      return true;
   }
   return false;
}
[PHP] pobierz, plaintext