Salve a tutti

Sto programmando un gioco che si appoggia su un server, il lato server è scritto completamente in php.
Lato server posso: sapere qual è il livello massimo supportato dal gioco, così se decidessimo di aggiungere dei livelli non dovrei riscrivere parte del gioco, avere delle informazioni per ogni livello e, tramite una opportuna schermata, quando il giocatore vince o perde, inserire in un db il punteggio del giocatore con relativo nickname.
Il problema sta proprio qui, gestisco tutto tramite richieste POST, tutti gli input sono controllati per evitare SQL injection da possibili hacker, però ovviamente nel momento in cui io analizzo con wireshark i dati che mando e dove li mando, e poi replico la richiesta con le varie variabili settate, il server mette tranquillamente i punteggi ricevuti nel database.

Come faccio per fare in modo che le richieste possano provenire solo ed esclusivamente dal gioco?
Cioè, come faccio, lato server, a controllare in modo certo da dove provengono le richieste e accettare solo quelle provenienti dal gioco?