Jo, Du hast recht, ich habe mich verlesen.
Aber auch das wäre genau genommen überflüssig, weil bei einem leeren $_POST['csrf_token'] das hash_equals() auch false liefern würde.
Ja, allerdings würde man dann immer eine Notice: Undefined Index bekommen.
selection Du musst natürlich auch den Namen deines Formularfeldes mit dem Token entsprechend anpassen.