<?php
    session_start
();
?>
<!doctype html>
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html" charset="utf-8" />
    <title>Perfil usuario</title>
</head>
<body>
    <div id="main">
        <?php
            
if (empty($_POST['biografia'])) {
                
$_SESSION['anticsrf'] = md5(uniqid(rand(), true));
        
?>
        <div id="perfil">
            <h1>Perfil de fulanito</h1>
            <img alt="avatar" src="http://vwzq.net/img/avatar.gif" />
            <h3>Biografia</h3>
            <p><?php echo htmlentities($_SESSION['biografia'], ENT_QUOTES"utf-8"); ?></p>
        </div>
        <hr />
        <form method="POST">
            <input type="hidden" name="token" value="<?php echo $_SESSION['anticsrf']; ?>" />
            <textarea name="biografia"></textarea><br />
            <input type="submit" />
        </form>
        <?php
            
} else {
                
// Comprobamos si la petición es legítima
                
if ($_SESSION['anticsrf'] === $_POST['token']) {
                    
// Actualizamos perfil
                    
$_SESSION['biografia'] = $_POST['biografia'];
                } else {
                    
// generar alerta de ataque
                
}
        
?>
        <p>Cambio realizado. <a href="">Volver</a>.</p>
        <?php
            
}
        
?>
    </div>
</body>
</html>