Con usar POST en realidad no haces gran cosa, ya que igualmente pueden mandar las variables via POST.

Modificando el htaccess es algo más seguro, aunque también se puede modificar el HTTP_REFERER.

A mi parecer, la opción más segura es usar sesiones. Inicias una en la página del formulario y la compruebas cuando recoges las variables.