$_SERVER['HTTP_REFERER']
Но его можно подделать, а идеального способа нет.

нет,дело не в подделать, а в том что исходные коды клинтского скрипта будут у юзера, он может просто тупо подставить любой адрес для передачи,посему мне надо именно на стороне сервера определить урл, с которого пришел запрос, а реферрер не годится хотябы потому, что он при прямом заходе на страницу не передается

URL - это запрос к серверу, у клиента его нет, есть только IP. Если нужно ограничить аплоуд, можно просто запретить его для не залогиненых пользователей. Или я непраильно понимаю суть вопроса.

неправильно, дело в том что я разрабатываю цмс, с платным доступом к основному(моему) серверу,ююзер будет устанавливать цмс к себе на сервер, соответственно будет иметь доступ к исходным кодам цмс, а сервер по запросам должен определить,оплачен ли доступ этому сайту, т.е. передать урл для дальнейшей обработки

Ну тогда нужно привязываться к IP. То есть юзер купивший право доступа должен указать IP своего сервера, либо резолвить домен запросившего хоста.

резолвить ,это как?
к ip привязываться смысла нет, там у хостингов по 300 сайтов на одном ip

Юзер указывает IP или домен своего сайта. Во втором случае нужно определить адрес по домену и внести его в БД, а потом проверять принадлежность по IP. Либо каждому юзеру выдавать уникальный ключ.

уникальные ключи есть мания раздавать,если ориентироватся на ip+домен,то один юзер сможет несколько цмс поставит на одном серваке,+есть маленькая вероятность совпадения

может както можно инклюдировать удаленный файл,цмс то на сервере юзера,значит можно как-то изменить настройки

Я так понимаю это система обновления?
Поскольку запросы шлёт ваш собственный скрипт, можно заставить его в запросе добавить свой HTTP_HOST, как вариант?

это не систеема обновления, таким образом мой сервер будет возвращать контент определенного содержания, HTTP_HOST это понятно, но что мешает вору подставить в код любой другой? пожалуй остановимся на варианте домен+ip, так наверно будет более точно, будем надеется на моральные устои, а для отвода глаз, раздавать уникальные ключики, которые тоже проверять, таким образом тройная защита,одним запросом,потом че нидь поумнее придумаю, спасибо тебе за помощь

передавать в запросах с клиентских серверов в POST(curl такое кажись позволяет вполне) некую соль (а лучше, 2 хэша), на стороне твоего сервера производить некую манипуляцию с этими двумя хэшами(например, получение ещё одного хэша из склееных двух) и искать хэш в базе данных. соответственно, уже ясно : платил, не платил или отдавать доступ, не отдавать.

этими хэшами с сервера клиента могут быть "ключ_1" и "ключ_2" (логин-пароль, если кому удобнее). хэшировать ключи лучше на стороне клиента(хотя, особо без разницы) и передавать по HTTPS.

удачи

алсо, могу расписать подробнее, если что.