el token es como una verificacion captcha, se crea cuando se carga el formulario (se inicia una sesion) y se comprueba al hacer un cambio, es para evitar el CSRF, se utiliza sobre todo en tareas de administracion... por ejemplo un script que borre un usuario

dominio1.tld/usuario.php?accion=borrar&id=12345

pues supon que el administrador de dominio1.tld entro a dominio2.tld y habia una "imagen" que apuntaba hacia esa url lo cual haria que, si el admin esta autenticado en su sitio, borrara al usuario con id 12345 porque se genera una peticion y el admin obviamente, habia iniciado sesion

sin embargo si la accion borrar necesitara un token obligatoriamente y que ademas este sea iniciado en una sesion cada cierto tiempo la tecnica anterior no funcionaria porque no puedes poner una sesion aleatoria en la "imagen" si esta es generada por la aplicacion y ademas deben coincidir

jajajaja no soy muy bueno explicando esto pero espero que algo hayas entendido

saludos

pd: recuerdo como en un foro enermano borramos encuestas asi x'D agregando el link para eliminar la encuesta en nuestras firmas y el administrador "veia" nuestras imagenes y sin saberlo borraba cada encuesta x'D

puede ser una sesion en la base de datos o usar la misma de php, por lo general la de php es mas que suficiente ya que por lo general el hash se genera en base a ciertos criterios (nick, ip, fecha)

como un captcha

Su proposito no es evitar un bot, sino CSRF(Cross site request forgery).