Der Page-Token ist bei Doppelklicks wirkungslos, weil er immer noch derselbe ist. Eine Checksum der gesendeten Daten in die Session schreiben ist der richtige Weg. Idealerweise mit dem URL der Seite als Schlüssel (ein Page-Token kann manipuliert werden, der url nicht).
Und wenns dann doch in MySQL ankommt -- MySQL kann auch Checksummen bilden.
Und dann wäre noch die Möglichkeit, eine Checksumme mit JS zu erzeugen und mitzuzählen, wie oft Daten mit dieser Checksum submittet wurden.
MfG