Können Spambots den token nicht auch aus dem Formular auslesen und ihn mitsenden?

Klar. Aber das setzt voraus, dass die Spammer den Aufwand treiben. Das sind aber Leute, denen (manchmal von sich selbst) versprochen wurde, „einfach und von zu Hause aus viel Geld zu verdienen“. Individuelle Anpassungen sind da aus (nennen wir sie euphemistisch) „ökonomischen“ Gründen einfach nicht drin.

Ich habe gerade Ärger mit einem Bot. Der ist zu doof, ein Subject-Input-Feld mit einem Betreff zu füllen, nur weil das input-field als name den wert phone hat, aber er scheint den token auszulesen. Finde ich merkwürdig.

  elseif ($_SESSION['token'] != $_POST['token']) {
...
} elseif (...) {
...
// der Bot kommt bis hierher

Finde ich komisch.

Hank