Puedes crear tu propio hosting y practicar sobre él, si estás en windows puedes descargar e instalar xampp que te instala apache(servidor web)+php+mysql y así tendrás el control absoluto sobre el hosting. Si estás puede variar según la distro, pero en google hay un montón de tutos. Suerte
Pregunto que si una buena medida de seguridad contra CSRF sería pasar por método GET el session_id() y comprobarlo en la página que realice la acción que sea.