如題，
我知道能用HTTP_REFERER來判斷上一頁表單是否為從本站發送的
但其實這樣並不是最好的
因為使用者一樣能用cURL來提交一個假的HTTP_REFERER來騙過PHP
所以有沒有一個最好的方法來判斷表單是否為從本站發送的？

你要的是如何防禦 CSRF 吧

csrf-token

直接放個 reCAPTCHA XD第1 因為他不是 domain 擁有者，所以生不出 captcha。第2 他無法藉由 html 分析，取得 captcha 內容。第3 還可以避免機器人大量送出表單

想太多，等真的碰到那種攻擊再說那就captcha阿

簡單答案：你要的事情做不到，因為技術上就沒這回事...captcha其實也不能確保這點，他只能確保「有人在看」要看你到底想處理哪件事情，然後才能思考該怎麼處理退一萬步說，總能是能用滑鼠精靈開瀏覽器刷網站...前幾年點點遊戲的"兵器"們就是靠人力+機器戰勝 captcha避免刷票、避免CSRF、避免被盜連，能用的解法都不一樣沒有能夠通用的銀子彈...

我不是很喜歡你要求「答非所問」的這種發問態度。大家都是義務幫你，不是「必須」幫你。