一応、最小構成でかつ、べた書きである程度分かりやすいように、また、PHP5以上で動くように記載すると下記のような感じで動くと思います。 <?php if ($_SERVER['REQUEST_METHOD'] === 'POST') { // POSTされた場合 if (isset($_POST['csrf'])) { // POST値に、CSRFトークンが渡されてきているはず。 $token = $_POST['csrf']; } else { // POST値に、CSRFトークンが渡されてきていない場合 // とりあえず空文字設定しておく $token = ''; } if (is_valid_csrf_token($token) { // POST値のCSRFトークンがSESSIONのものと同様だった場合 // ここら辺にバリデーション処理とか登録処理とか書く } else { // CSRFトークンが不整合な場合 // エラーメッセージやエラー遷移や例外処理なんかをここに書く } } else { // POSTではない場合（GETとかその他） } // 質問者さんのスクリプトがどのようにHTMLを表示するかはわかりませんが、下に適当に入れておきますね。 // HTMLに渡すための変数を用意し、新しくCSRFトークンを生成する $csrf_token = get_csrf_token(); ?><html> <body> <form action="" method="POST"> <!-- FORMタグの中にhiddenのINPUTタグを用意し、CSRFトークン文字列を隠し属性で設定する --> <input type="hidden" name="csrf" value="<?php echo $csrf_token ?>" /> <!-- 以下普通に登録するためのINPUTやらTEXTAREAやらSELECTなんかを書く --> </form> </body> </html> ここまで、一連の質問投稿から推察するに、誰かの作ったアプリを読み解いて勉強しているのかなと思います。 自分自身で書いていないユーザ関数群をマニュアルなしに読み解いていくのは結構難しいと思いますので、もし理解が追い付かない場合は、簡単なフォームアプリから見直してみてもよいと思います。 セッションを使わない、セキュリティを気にしない文字列投稿だけを実装して、そのあとに徐々に機能を増やしていく、みたいな。