Tambien podrias usar algo como

if ($_SERVER['HTTP_REFERER'] == ""){
echo"acceso denegado";
}

Asi no podria hacer llamadas directas


Un Saludo