HTTP_REFERER se puede suplantar (creo que es la tercera vez que lo comento en éste post)

Y con un define no creo que se solucione el problema actual: que alguien mande variables por POST al script. Puede valer para que no accedan a un script sin que haya pasado por el index antes (y tampoco es fiable al cien por cien, si permite que se llamen al php desde servidores externos basta con tener el define antes del include a ese php)