Во-первых, наверное все-таки CSRF Token.
Во-вторых, CSRF токен никуда руками вводить не надо, его обычно прицепляют в качестве доп. скрытого поля при отправке форм. Смысл в том, чтобы злоумышленник не мог дать ссыль или сделать на своем сайте форму, переход по которой заставил бы залогиненного на атакуемом ресурсе пользователя сделать какие-то неявные действия (сменить пароль, емаил, написать сообщения, перевести средства и т.п.).

Получаете post данные, декодируете их в массив, траверсите массив и грузите данные в модели и сохраняете их. Допустим вы передаете данные в post параметре arr а модель у вас называется Model

$data = json_decode(\Yii::$app->request->post('arr'), true);
foreach ($data as $chunk) {
    $model = new Model();
    $model->attributes = $chunk;
    $model->save();
}

Чтобы модель корректно сохранилась в бд нужно чтобы ее свойства удовлетворяли ее правилам валидации (см. метод rules в классе модели). Если не сохраняется в бд, можно проверять на ошибки, например вместо обычного сохранения прописывать

if (!$model->save()) {
    var_dump(['erorrs' => $model->errors]);
}

Ошибки выводятся в STDOUT просто для наглядности примера, вообще конечно их лучше не выводить сразу а логировать куда-то или оформлять в нормальный api ответ запрашивающему.

Скорее всего проблема в мультибайтовой кодировке (юникод).
Попробуйте для регистронезависимого сравнения строк использовать мультибайтовую версию функции strcasecmp

function mb_strcasecmp($str1, $str2, $encoding = null) {
    if (null === $encoding) { $encoding = mb_internal_encoding(); }
    return strcmp(mb_strtoupper($str1, $encoding), mb_strtoupper($str2, $encoding));
}

Отсюда php.net/manual/en/function.strcasecmp.php#107016