Hallo,

Ich möchte unter allen Umständen verhindern, dass jemand diese URL direkt aufruft.

Warum?
Es ist doch Dienst am Kunden, wenn auch direkte Suchresultate
z.B. als Bookmark gespeichert werden koennen.

Man soll immer über suche.php geben, und dann das Formular von Hand ausfüllen müssen.

Das ist aktive Benutzer-Belaestigung.
Du wirst Dir damit keine Freunde machen.

Es erwartet doch auch niemand von Dir, dass
Du im Zeitalter von Waschmaschinen Deine
schmutzige Waesche am Brunnen mit Seife und
Buerste waeschst.

FRAGE: Gibt es da irgendeine einfache Schutzidee?

Ja.

• POST verwenden und nur Daten aus $_POST akzeptieren.
• Sessions.
• Methoden mit einem "Challenge", d.h. z.B. einem
     String, der ins Formular eingebaut wird und
     nur kurzfristig gilt.

Auf den Referrer solltest Du uebrigens nicht bauen.
Der kann oft leer (oder sogar gefaelscht) sein, ohne dass
dies im Einflussbereich des Benutzers liegt.

Gruesse,

Thomas