das problem ist, daß der http-referer vom browser gesendet wird und es daher ein sicherheitsproblem darstellt.

wenn du wirkliche sicherheit gewährleisten willst mußt du ein passwort mitsenden. das erscheint dann allerdings bei einem <a> auch in der adresszeile des browsers. am besten wäre meiner meinung nach ein system, daß sich an der session des users orientiert...

Hab jetzt nen Keks gebacken

Kaum besser als die Referer:-basierende Überprüfung; du solltest lieber auf HTTP Authentifikation oder zumindest PHPLIB http://phplib.netuse.de/ zurückgreifen, sprich Sessions wie schon angesprochen. Cookies werden ebenfalls teils gefiltert oder werden vom Benutzer gleich ganz deaktiviert, diesen zur Aktivierung aufzufordern ist manchmal unmöglich, und auf jeden Fall unfreundlich da unnötig.