Un token que se genere con un rand cada vez que cambias de página no sería muy práctico, yo tengo esta función que genera el token:

function token($dbname,$ip){
return sha1(session_id().phpversion().$dbname.$ip.$_SERVE R ['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT']);
}

No es estrictamente necesario pasarle el nombre de la bd y de la ip, aunque eso aumenta aún más la improbabilidad de que alguien genere un token igual.