JavaScript — безопасный PHP-скрипт TinyMCE windowManager.open ()

Я использую TinyMCE activeEditor.windowManager.open() способ реализовать свой собственный файловый браузер. Он открывает скрипт PHP, который выполняет загрузку файлов / браузер.

Меня беспокоит то, что любой, кто просматривает JavaScript, узнает URL-адрес моего скрипта и сможет открыть его в любом окне браузера. Я бы не хотел этого, потому что только администраторы моего веб-приложения должны иметь возможность загружать или управлять / удалять вещи.

Я пытался проверить $_SERVER['HTTP_REFERER'] в моем скрипте файлового браузера, но я думаю, что это не надежно.

Любые идеи, как это можно сделать более безопасным?