Jegliche vom Client empfangenen Daten können von ebendiesem nach Belieben verändert werden. Grundsätzlich darfst du also keinen Eingabedaten vertrauen, der HTTP-Referer zählt dazu.

Wie kann ich mir dann sicher sein, dass meine php-Datei nur von einem bestimmten Seite aufgerufen wird?