Es gibt allerdings einige Leute, welche Tools am Laufen haben, die den Referrer verschleiern.
Wer sowas nutzt, der kann es auch mal abschalten.
@Matze: Bei Bildern/Dateien hab ich standardmäßig die Kekse gespert (weder runerladen/speichern noch vom Browser versenden) das wäre es dann mit deiner Session.
Wer sowas deaktiviert, kann es auch mal aktivieren.
Ich könnte natürlich zusätzlich den PHP-Referer prüfen, wenn meiner nicht gesetzt ist oder umgekehrt.
Edit: Nun sind beide Überprüfungen implementiert.
Wer Cookies deaktiviert hat und zusätzlich den Referer unterdrückt, hat Pech gehabt. So einfach ist das.