Si hacés como te comento en el mensaje anterior (con números para cada opción) la validación de datos es sencilla y además separás los datos enviados de la consulta.
Si vos solamente aceptás números entre 1 y 4 (por ejemplo) y luego dependiendo del número recibido ejecutás una acción u otra, ya no hay forma de que te hagan una inyección SQL.

Usar el REFERER no te serviría de nada, tené en cuenta que es muy probable que un supuesto atacante tenga tiempo libre como para probar: si bien le será quizás complicado adivinar que le falta el referer, no hay que olvidar que al igual que cualquier otra cabecera, es fácilmente modificable.
Esto resulta en que muy probablemente si alguien te ataca falsee esa cabecera (y todas las que quiera)

Un consejo final si estás preocupado por la seguridad: conectate a MySQL con un usuario con privilegios de solo lectura. Entonces nohay modificación posible a los datos de tu base. El cambio de privilegios lo podés hacer con una herramienta tipo phpmyadmin o desde el panel de control de tu sitio.


Saludos.