se pueden cambiar los datos del referer?

estoy aprendiendo algo de ajax y he echo un código para valorar un producto sin necesidad de actualizar la página.

entonces un usuario dará una valoración de 1 a 5 al producto y capto esos datos con javascript, luego a través de ajax los mando a un archivo php y los guardo en la base de datos. todo esto sin actualizar la página.

pero el problema es que si algún usuario mira el archivo .js puede ver a que archivo se mandan los datos y podría acceder a él directamente desde la url. y esto es algo que quiero evitar.

para ello en el archivo php recojo el referer y compruebo si se entró al archivo desde una página de mi web o desde otro sitio, impidiendo así el acceso desde fuera.

ahora mi duda es... hay alguna forma de falsificar los referers?, me refiero a que si un usuario malintencionado pueda hacer algo para acceder a ese archivo cambiando la url del referer por la de mi web o algo asi. es eso posible?

Hola:

Enmascarar datos puede ser algo difícil, pero hay muchas formas de protegernos, una bastante sencilla es usando variables de sesión y los includes dentro de las rutinas en tu server...

if ($_SESSION["ok"] $redirect = "bueno.php";
else $redirect = "malo.php";
include ($redirect);

No sé si eso te contesta.

Saludos