Requerir autenticación en los parámetros GET y POST, no solo las cookies;

Comprobando el encabezado de HTTP Referer;

Vi este post en wikipedia y me preguntaba cómo puedo aplicarlos.

ok ... Estoy utilizando el marco PHP de Kohana y tengo la capacidad de determinar el encabezado de referencia, pero ¿qué hago para verificar exactamente el encabezado de referencia? La función de marco solo devuelve la URL del remitente.

¿Y cómo validar los parámetros GET y POST? ¿contra que? información almacenada? tipo esperado?