Um zu verhindern das ein Besucher die comments.php direkt aufruft, füge am Anfang deiner „comments.php“ folgenden Code ein:

<?php if(!empty($_SERVER['SCRIPT_FILENAME']) && 'comments.php' == basename($_SERVER['SCRIPT_FILENAME'])) : ?>  
    <?php die('Die Datei "comments.php" kann nicht direkt aufgerufen werden.'); ?>  
<?php endif; ?>

Dieser Schritt ist zwar nicht unbedingt nötig, ist aber mit wenig Aufwand umsetzbar.