対策方法

ここでは、セッションに本人確認用のトークンを保持し、POSTで送られてくるトークンと比較する方法で対策を行います。

基本的には、

• あらかじめセッションに、本人確認用のトークンを保存し、
• フォームにそのトークンを一緒にPOSTされるように記述し、
• POSTで受け取ったトークンとセッションのトークンを比較する

という手順です。

POST毎に異なるトークンを生成する方法をワンタイムトークンとよぶようです。
ワンタイムトークンの場合、ブラウザを複数開いちゃう人がいると、タイミングによってはトークンが変わってしまい、不正アクセス扱いになるかもしれません。
それがまずい場合は別の方法を考える必要があります。

なので、同一ユーザの並列操作は許容可能で実装が単純な1セッション1トークンを採用しました。
対策しないよりはマシ、というレベルかもしれませんが。

処理の大雑把な特徴

• チェックするのはPOSTのみ
• トークンの生成も、POST時の検査も前処理でやってしまう
• 検査処理は、セッションのトークンと、hiddenフィールドで送られてくるトークンの値を比較するだけ

自作フレームワーク（もどき）をつかってる（むしろ作りながら使ってる）ですので、前処理フィルタをかけたりできません。
なので、処理開始の冒頭でいきなりチェックしています。（ここにするのは面倒くさいという理由で）
間違えてPOSTしたら、関係ない場所でも不正アクセス扱いになりますが、まぁいいかと。

実際のコードとは全然ちがいますが、抜きだして書いてみます。
PHPの哲学は理解してないので、コードが汚いのはご愛嬌。
# 下のはサンプルです。実際はスパゲッティで書いてません

検査する側：

<?php
define("AUTH_TOKEN_NAME", "auth_token");
session_start();

// トークン作成
if (! isset($_SESSION[AUTH_TOKEN_NAME])) {
  $_SESSION[AUTH_TOKEN_NAME] = sha1(mt_rand() . "@" . session_id());
}

// リクエストメソッドがPOSTの場合、トークンを検査する
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  if (! isset($_POST[AUTH_TOKEN_NAME]) || $_POST[AUTH_TOKEN_NAME] != $_SESSION[AUTH_TOKEN_NAME]) {
     die("不正アクセス");
  }
}
?>

POSTするフォーム側：

<html><head></head><body>
<form action="xxx" method="post">
<input type="hidden" name="<?php echo AUTH_TOKEN_NAME; ?>" value="<?php echo $_SESSION[AUTH_TOKEN_NAME]; ?>" />
<input type="submit" />
</form>
</body></html>

検査側ですが、トークンの生成規則はすごい適当です。
session_id() 単体でsha1() に通してもいい気がしますが、念のため、乱数をくっつけてます。
余計な掛け合わせをやると、逆に乱数が偏った気がしますが気にしない方向で。
むしろ、session_id() つかうなとエライ人に怒られそうです。
まぁ、SHA1を逆算する時間があれば、セッションは切り替わってると思います。
あと、参考サイトにはCookieも使うような感じでかかれていましたが、Cookieの扱いがよくわからない（←大問題）ので、つかってません。

HTML側では、formの中に hidden フィールドとしてトークンを入れておくだけです。
セッションは、ヘマしてなければ書き換えられることはないはずなので、エスケープしてませんが、心配ならhtmlspecialchars()などをかけておきます。

telnetからのPOSTは、不正アクセス扱いにできました。
これで、とりあえずの対策ができました。