Nel file dell'action puoi mettere semplicemente
Codice PHP:
if(!isset($_POST['submit'])) die('Accesso non consentito'); 
ed ovviamente nel form devi assegnare il name submit all'input corrispondente

Per i file inclusi, nel primo file metti
Codice PHP:
define('IN_SITE'1); 
e nei file che saranno inclusi metti
Codice PHP:
if(!defined('IN_SITE')) die('Accesso non consentito'); 
Altra alternativa per i file inclusi potrebbe essere questa
Codice PHP:
if(eregi('nome_file.php'$_SERVER['PHP_SELF'])) die('Accesso non consentito');