totalmente que si el token no es la solucion definitiva pero se acerca bastante

un form con token + una buena validacion de datos enviados es practicamente infalible

ademas se podrian hacer algunas otras cositas viendo la procedencia del script ya que para hacer estos atauqes se harian desde una url distinta a l anuestra pq la url nuestra es de un archivo en internet q no se puede modificar

hoy en dia con firebug esto se puede saltar rapidamente, pero como dije mas arriba con una buena validacion de dtaos y limpiando tags no queda mucho por donde puedan entrar

saludos