La mejor manera de hacerlo, se me ocurre, es crear una clave para el usuario que sólo sirva en el momento y guardarla en la sesion, entonces si entra por el popup va a tener la clave en el query string, y si en otro momento intenta entrar directo no le va a andar más la clave...

Otra alternativa es verificar el valor de $_SERVER['HTTP_REFERER'] que sea la página que abre el popup, pero esta variable no es fiable (se puede escribir a mano y no todos los navegadores la soportan)

Igualmente no existe un método 100% seguro de esto...