Wenn ich das alles so richtig wiedergegeben habe, frage ich mich wo speichere ich den Token? Du sagst in der Session Tabelle. Was ist das? Meinst du damit das $_SESSION Array?

Ja, das geht. Oder in der Datenbank, falls du dort eine Session-Tabelle hast.

Wie oft soll ich den Token erneuern?

Z.B. bei jedem erfolgreichen Login.

Was passiert wenn gerade jemand im Formular ist und der Token wird erneuert, dann ist das senden des Formulars ungültig?

Ja. Deshalb solltest du den Token nicht mitten in einer Session erneuern.

Wenn der Token wirklich in der Session steht, diese jedoch von jemand fremden übernommen wurde, wie soll ich dann noch sicher sein?

Der CSRF-Token ist kein zweiter Session-Cookie. Er schützt gegen *andere* Angriffe, gegen die der Session-Cookie nicht hilft. Klar, wenn der Angreifer den Session-Cookie kompromittieren konnte, ist der CSRF-Token ebenfalls kompromittiert und kein weiterer Schutz.

Mathias