@Phoenix: Hm wie meinst du das genau?
bei Betreten der Seite speichere ich einen Zufalls-String in der Session, prüfe auf diesen und nach dem Aufruf des Skripts lösche ich ihn wieder aus der Session und erzeuge ggf. einen neuen?
Das würde den direkten Aufruf vermutlich verhindern, stimmt. Ich überlege nur grad, wo dort der Haken ist.

@Andy+Phoenix: Ginge das auch über das $_SESSION-Array?

@Andy: Gut, du hast mir schon die meisten Antworten auf die Fragen gegeben.