Самый простой способ фильтровать нежелательные обращения к серверу
Существует способ причинения вреда сайту, при котором action url формы торпедируется напрямую запросами с удаленного компьютера. Это делается с целью обхода проверки передаваемых данных средствами JavaScript, автоматизации подбора пароля, флуда и т.д. Самой простой защитой от этого является проверка переменной окружения HTTP_REFERER. В ней содержится адрес страницы, с которой был осуществлен переход. Например, если имя вашего домена some.ru, то оно обязательно будет присутствовать в HTTP_REFERER при отправке форм сайта.
То есть в сценарии можно сделать следующую проверку:
if (substr($_SERVER['HTTP_REFERER'], 0, 15) !== "https://site.ru") {
die("Несанкционированное обращение!");
}
Переменной HTTP_REFERER нельзя полностью доверять, поскольку она может быть изменена на стороне клиента, тем не менее рассмотренный способ может послужить защитой "от дурака" или как дополнение к более серьёзным проверкам.
Всем добра!