如题，
我知道能用HTTP_REFERER来判断上一页表单是否为从本站发送的
但其实这样并不是最好的
因为使用者一样能用cURL来提交一个假的HTTP_REFERER来骗过PHP
所以有没有一个最好的方法来判断表单是否为从本站发送的？

你要的是如何防御 CSRF 吧

csrf-token

直接放个 reCAPTCHA XD第1 因为他不是 domain 拥有者，所以生不出 captcha。第2 他无法借由 html 分析，取得 captcha 内容。第3 还可以避免机器人大量送出表单

想太多，等真的碰到那种攻击再说那就captcha阿

简单答案：你要的事情做不到，因为技术上就没这回事...captcha其实也不能确保这点，他只能确保“有人在看”要看你到底想处理哪件事情，然后才能思考该怎么处理退一万步说，总能是能用鼠标精灵开浏览器刷网站...前几年点点游戏的"兵器"们就是靠人力+机器战胜 captcha避免刷票、避免CSRF、避免被盗连，能用的解法都不一样没有能够通用的银子弹...

我不是很喜欢你要求“答非所问”的这种发问态度。大家都是义务帮你，不是“必须”帮你。