皆さんいろんな意見ありがとうございました。
頂いたアドバイスを参考に、以下のやり方を試すことにしました。

1)のフォームページで$_SESSION['inputstart']=1 とする
2)の確認画面にif($_SESSION['inputstart']==0){//エラーページに飛ばす} の処理を追加
4)の完了画面で$_SESSION['inputstart']=0 とする

こんな感じで…  まずいですかねー
念のため、ワンタイムトークンていうの調べてみます
ありがとうございました