Haci esta bien amigo
Pagina 1
<?php
@session_start();
// Generar un sha1 aleatorio.
$token = sha1(rand(0,999).rand(999,9999).rand(1,300));
$_SESSION['token'] = $token;

?>

<body>
<input type="hidden" name="token" value="<?php echo $token; ?>" />
</body>

PAGINA 2
<?php
@session_start();
// Comprobar si el session o el post del token estan vacios y compararalos para ver si coinciden.
if(empty($_SESSION['token']) || empty($_POST['token']) || $_SESSION['token']!==$_POST['token']){
die('Tu token no es valido. Realiza tu consulta de nuevo.');
}
echo 'Tu consulta ha sido realizada';
?>

me econtre el codigo en la web y quiesiera saber si me sirve