Ich versteh aber dein Problem nicht... Du willst ein Captcha zum Abtippen in das Formular einbauen, demnach muss doch deine PHP Datei nur die große Datenmenge ausgeben, wenn das Captcha korrekt ist - andernfalls soll es hald 0k ausgeben und fertig. Alles andere macht keinen Sinn?!

Das Problem ist, dass ich nicht alle Scripts auf diese Weise schützen kann, denn dann würd keine mehr auf meine Seite gehen, aber egal, mir fällt schon irgendwas kniffliges ein.

Also wenn bei dir jeder Klick einige MB an Daten runterläd, würd ich auch so deine Seite nicht mehr besuchen...

Geht es dir eigentlich darum, dass jemand absichtlich deine Seiten dauernd öffnet, oder geht es dir um Links die auf fremden Seiten plaziert wurden? Für Links von fremden Seiten kannst du den Referer schon nutzen, aber nicht indem du prüfst ob der User von deiner Seite kommt, sondern indem du prüfst ob er nicht von einer anderen Seite kommt. Somit erlaubst du auch die, deren Referer geblockt wird. Das ist aber nur ein kleiner Teil, Traffik durch unerwünschte Links kann man so effektiv verhindern.

Wenn es so wahnsinnig wichtig ist, setz ein Captcha und Sessions ein. Dann muss der User einmal das Captcha eintippen, das wird in der Session vermerkt, und dann machst es so, dass er das Captcha für den Rest des Tages (oder für X Klicks auf der Seite) nicht mehr benötigt. Sessions benötigen auch nicht zwangsweise einen Cookie.