Al igual que nicolaspar, por mi parte también insisto en el tema de que HTTP_REFERER no es un dato válido para fiarse e implementar sistemas de seguridad o útilidad a la aplicación basado en el.

Vale la pena tomar el valor de PHP_SELF .. dejarlo en una cookie o sesión (y a malas propagarlo por el URL si se trata sólo de una funcionalidad para la aplicación . .no algo de seguridad crítica) y leerlo en el script de proceso que tenga que devolver el proceso a ese punto de inicio que ya registramos en una cookie, sesión o fuimos propagando por el URL.

Un saludo,