OK! Gracias por contestar! Lo del captcha por ahora no lo haré, porque imagino que eso es para evitar fuerza bruta y que alguien consiga la contraseña de otro, ¿no? Yo por ahora me voy a centrar en evitar injections y cosas en ese plan.
Entonces, ya en definitiva, debería de:
1) Filtrar lo que llega por $_POST quitando cosas raras
2) Comprobar que el REFERER es la página del Login*
3) Iniciar una $_SESSION*

Duda sobre el 2: Me dices que algunos navegadores no lo definen, ¿significa esto que si yo hago if($referer!="mi_web") { /* ok */ } else { /* no ok*/ }, aquellos navegadores que no lo definen irán al else?

Duda sobre el 3: ¿Qué sesiones crearíais? ¿Una que guarde la ID del usuario y ya? Si es así, ¿luego en el resto de páginas sería seguro poner if($_SESSION["id"]) { /*ok*/ } else { /*no ok*/ } para validar?

Gracias de nuevo.