Este mismo tema lo resolví yo con este script que llamo "seguridad".

<?
session_start();
//Compruebo que el usuario está autorizado
if ($_SESSION["autentificado"] != "SI") {
echo "No puede entrar directamente en esta página";
//destruyo la sesion
session_destroy();
//salgo
exit();
}
?>

Lo pongo con include en las páginas que quiero proteger.

De esta forma, no se puede acceder a la página ni directamente ni a través del historial. Claro que tendrás que utilizar sesiones.

Pruébalo, a ver si te sirve.

Saludos