Das total sicher zu bekommen, dürfte davon abhängen, wieviel Aufwand es dir Wert wäre, da dort eine gesicherte HTTP-Verbindung nötig wäre.
Die Idee mit dem versteckten Feld bietet leider kaum mehr Schutz, da dein Kumpel dann nur den Typ des Inputs ändern muss, um es zu manipulieren.
Sessions helfen auch nicht viel weiter, da du sie ja aufrechterhalten musst, und wenn dein Kumpel von seiner lokalen Datei kommt, und die Session per Cookie gespeichert wird, diese noch aktiv ist. Bei einer Session-Weitergabe per URL wäre es auch nur ungleich schwerer, da die Session-ID im Dokument stehen muss.
Folgende Sachen würden wohl mehr Wirkung zeigen:
Als erstes könntest du den HTTP_REFERER prüfen, wenn dieser gesetzt ist und nicht identisch ist mit deiner Seite, hättest du ihn ertappt...aber auch das lässt sich manipulieren.
Anstatt den Score über das Formular weiterzugeben, könntest du ihn vor dem Senden in einem Cookie speichern. Dein PHP-Skript liest dann das Cookie aus.
Auch das wäre zwar manipulierbar, aber schon etwas umständlicher.