Existen funciones en php que ya hacen eso que dices:
uniqid() por ejemplo.
Pero no es seguro.

Pero, si lo quieres hacer más seguro, yo recomiendo: openssl_random_pseudo_bytes():
http://php.net/manual/es/function.op...eudo-bytes.php
Luego con bin2hex() lo pasas a hexadecimal y tienes tu token.

Usar el timestamp con md5 no es recomenado en casos de seguridad, un hacker podría llegar a predecirlo. Lo mismo con el uniqueid() tampoco. En el mismo manual te lo advierte, pero con openssl_random_pseudo_bytes() si que crea variables seguras e impredecibles.