[wvxvw]

На этот случай придуманы всякие "обходные маневры" в ПХП, типа можно проверить User-Agent, HTTP-referrer, генерить и проверять SID ну и еще пару фишек в том же духе... но, все равно, замаскироваться под клиента возможно... так что это сразу же нужно принимать во внимание. Да, и еще ПХП файл можно скачать, если соответствующие привилегии выставлены.

Хм... в таком случае я бы делал примерно следующее:
логинимся -> генерим SID -> (если есть возможность mxmlc положить на сервер, и там его запускать) генерим флешку с этим SID и отдаем ее пользователю -> пользователь при запросе отдает этот же SID -> проверяем, если совпало - посылаем, если нет -> до свидания =) конечно, можно вскрыть флешку, найти ключ и быстренько перенастроить клиента, чтобы тот посылал запросы используя новый ключ, но это уже на порядок заморочливее... а если ключ еще будет по-разному раскидан внутри флешки каждый раз + експарился, через, скажем, полчаса... ну, вобщем, конечно не идеально, но автоматизировать процесс будет очень не просто...