Sigue siendo igual de seguro pues se valida igualmente -siempre- por la existencia o no de las variables de sesión.

PD: por cierto en mi respuesta anterior me confundí totalmente del error .. La explicación que dí es referente al error "cod.2" .. el "cod.1" se refiere a la obtención de la variable "HTTP_REFERER".

Un saludo,