Vuelvo a la pregunta, ¿qué cambios en realidad temes?

Como ya te explicaron, sólo tienes que validar los datos del lado del servidor. No puedes evitar que cambien los datos del formulario, eso es muy fácil de hacer.

Por otro lado, sólo recordar que no todos los agentes de usuario envían la cabecera HTTP_REFERER (o por lo menos no un dato válido), no es recomendable depender de eso.