ciao
per evitare xss scripting (cioè che da un server terzo si possa interagire con una pagina) ho pensato di far inviare (tramite campo hidden) all'utente che compila il form anche il session_id() che ha ricevuto quando ha avuto accesso all'applicazione.
Però, per evitare di tenerlo in chiaro (l'html è comunque visibile) pensavo di criptarlo con md5 o qualcosa del genre.
Può andar bene come approccio basilare? tra l'altro, ho visto proprio una guida qui su html.it che suggeriva proprio questo