Hallo,

ich würde einen der Indy-Clients nehmen. Die URL hast Du ja schon irgendwo in Deinem Programm zusammengebastelt und wenn es nur darum geht, eine URL aufzurufen, um ein PHP-Script anzustoßen, dann würde ich wie eben gesagt, einen Indy-Client nehmen. Web- oder HTTP- Sowieso der dgl. müsste der heißen.
Duch etwaige Hinweismeldungen von Firewalls ("Ausgehnde verbindung nach XY") oder Monitore oder dgl. jedoch wirst Du die URL kaum geheim halten können.

Letzlich ist es eine Frage, wie groß der Aufwand sein soll, den Du betreiben möchtest. Ein simpler Schutz, der schon mal einige selbsternannte Hacker ausschließen würde, wäre es, einen MD5-Schlüssel anzuhängen. In diesen Schlüssel gehen die Parameter (Highscore etc.) eine sowie ein nur Dir und Deinem PHP-Script bekannte Zeichenfolge. So könntest Du auf einfache Weise erkennen, falls wer die Parameter verändert.

Aber es führen wie so oft 1.000 Wege nach Rom.