<form id="form" action="php/submit.php" method="post">

您的表单发出的是POST请求，而“当有人在地址栏中手动输入它时”，他们发出的是GET请求。因此，您可以阻止除POST请求以外的任何请求。

使用<LimitExcept>

例如，将现有指令放在<LimitExcept>容器中：

<LimitExcept POST>
    <Files "submit.php">  
       Require all denied
    </Files>
</LimitExcept>

请注意，这会阻止对系统上任何submit.php文件的非POST请求。
注意：Order，Allow和Deny是Apache 2.2指令，以前在Apache 2.4上被弃用（除非你在LiteSpeed上，否则你更可能使用Apache 2.4）。Require all denied是Apache 2.4的等价指令。但是，你不应该混合两个模块的身份验证指令。

使用mod_rewrite

或者，在.htaccess根文件顶部附近使用mod_rewrite，可以直接指向/php/submit.php URL路径。例如：

RewriteEngine On

RewriteCond %{REQUEST_METHOD} !=POST [NC]
RewriteRule ^php/submit\.php$ - [F]

以上将为任何非POST请求的/php/submit.php请求提供403禁止（例如，当用户直接在浏览器的地址栏中键入URL时）。
或者，检查请求 * 是否 * 是GET请求，即=GET
但是，您应该已经在PHP代码中执行了这个检查，作为标准表单验证的一部分，因此.htaccess中的这个额外检查应该是多余的。（毕竟，您是如何检查表单是否已经（成功）提交的呢？）