Buenas noches,
estaba haciendo el siguiente sistema que la idea sería evitar los ataques CSRF en mi aplicación web...

$Token_CSRF = Create_Code();
// La función "Create_Code()" lo que hace es crear un token de 22 caracteres entre ellas números y letras
 

Luego en el formulario tengo un input de tipo hidden

<input type="hidden" name="token_csrf" value="<?php echo($Token_CSRF); ?>">
 

Luego al enviar el formulario lo que hago es comparar si $_POST['token_csrf'] es igual a $Token_CSRF

if($_POST['token_csrf'] == $Token_CSRF)
{
     echo "Función ejecutada correctamente";
}
else
{
      echo "Un posible ataque CSRF fue detectado, vuelva a intentarlo.";
}
 

El problema es que el valor $Token_CSRF y el $_POST nunca van a ser iguales ya que al enviar el formulario no entiendo por qué razón se cambia o se "recrea" el valor de la variable $Token_CSRF ¿Como podría hacer algo para solucionar esto?

Si si, estoy guardando el token del lado del servidor pero no entiendo por qué sucede eso... si hasta donde yo lo veo como yo hice debería de funcionar de 100 pero siempre puede pasar que algo se me escape...

Intente con las $_SESSION pero es lo mismo, al enviar dicho formulario como que la variable que guarda el dato de la función "Create_Code" es como que se dispara otra vez, y de esta forma genera un nuevo token sin que yo se lo pida..

Igual estás ejecutando la función antes de la comprobación del token ende se genera un nuevo token antes de validar el antiguo. Si es el caso, yo  lo que suelo hacer es guardar el valor antiguo y el nuevo. Usas el antiguo para comparar y el nuevo para insertar en campos.

Un ejemplo así sin pensarlo mucho:

function createToken($name = 'token')
{
    $new_name = 'csrf_'.$name;
    $old_name = 'csrf_old_'.$name;
 
    if (!empty($_SESSION[$new_name])) {
        $_SESSION[$old_name] = $_SESSION[$new_name];
    }
 
    $rand = bin2hex(random_bytes(32));
    $_SESSION[$new_name] = $rand;
    return $rand;
}
 
 
function validateToken($name = 'token', $value = null)
{
    $old_name = 'csrf_old_'.$name;
 
    if (!empty($_SESSION[$old_name]) && $_SESSION[$old_name] === $value) {
        return true;
    }
 
    return false;
}

<?php
$csrf_token = createToken('patata');
 
 
if (isset($_POST['csrf_token']) && validateToken('patata', $_POST['csrf_token'])) {
    echo 'token valido';
}
 
?>
 
 
<form method='POST'>
    <input name='csrf_token' type='hidden' value='<?=$csrf_token?>'>
    <button type='submit'>Enviar</button>
</form>

PD: Comprueba siempre los strings con === (3 iguales) en vez de 2.
https://stackoverflow.com/questions/4732706/whats-the-difference-between-equal-and-identical-comparison-operators-in-php

PD2: echo NO es una función. No uses paréntesis () si no vas a hacer comprobaciones.
https://www.php.net/manual/es/function.echo.php
Nota: Puesto que esto es una construcción del lenguaje y no una función, no puede ser llamada usando funciones variables.


Saludos