Per un sistema a livello sicurezza accettabile ti consiglierei le sessioni. L'alternativa, non sempre affidabile, sarebbe $_SERVER['HTTP_REFERER'].