拡張Drupal 6 "form_token"＆ "form_build_id"

TL; DR：これらの値は、

• 同じユーザーを使用してサイトにログインする
• PHPセッションは期限切れではありません
• Drupalは、キャッシュ内で「form_build_id」に関連付けられたフォーム配列を見つけます。

「form_token」に使用されるトークンは、次の関数呼び出しで使用して作成されたものです。drupal_get_token($form['#token']);同じ形式で、その関数呼び出しで変更される唯一の値は、session_id()から呼び出されるdrupal_get_token()です。

function drupal_get_token($value = '') {
  $private_key = drupal_get_private_key();
  return md5(session_id() . $value . $private_key);
}

drupal_get_private_key()から返される値は、各Drupalサイトで一意です。これを変更する唯一の方法は、Drupal変数 "drupal_private_keyを削除することです。 "削除されることはありません（それを削除するサードパーティのモジュールがない場合）が、Drupalがインストールされると初期化されます。session_id()によって返される値はログインしているユーザーが同じで、PHPセッションがまだ期限切れになっていない場合、drupal_get_token()が呼び出されるたびに同じです。

「form_build_id」の値については、その値は完全にランダムで、次のコードを使用して drupal_prepare_form（） から初期化されます。

  if (isset($form['#build_id'])) {
    $form['form_build_id'] = array(
      '#type' => 'hidden', 
      '#value' => $form['#build_id'], 
      '#id' => $form['#build_id'], 
      '#name' => 'form_build_id',
    );
  }

$form['#build_id']は drupal_get_form（） の次のコードから初期化されます。

  $form_build_id = 'form-' . md5(uniqid(mt_Rand(), TRUE));
  $form['#build_id'] = $form_build_id;

「form_build_id」と「form_id」の値をPOSTデータで渡すと、次のコードが実行されます（ drupal_get_form（） を参照）：

if (isset($_POST['form_id']) && $_POST['form_id'] == $form_id && !empty($_POST['form_build_id'])) {
  $form = form_get_cache($_POST['form_build_id'], $form_state);
}

キャッシュにフォームが含まれている場合、「form_build_id」は再度生成されません。