$_SERVER['HTTP_REFERER'] PHP belgelerine göre güvenilir olamaz, nasıl POST kendi sunucusundan geliyor emin olmak istiyorsun? Oturumları tek yolu var mı?