Si, conocía de esos problemas sobre HTTP_REFERER, (no lo concí directamente en el momento del desarrollo del script en sí .. ya hace unos años pero si que me dí cuenta posteriormente).

El detalle está que no lo uso con fines de validación .. me explico, las sesiones y su validación siempre prevalecen sobre la validación de la página referida que hago.

La obtención de la página referida vía HTTP_REFERER sólo la uso con fines de devolver al formulario de logín que el usuairo pueda haber creado ante un problema de validación del login (Usuario/contraseña), y principalmente por motivos de "usabilidad?" .. es decir, para no "amarrar" a un sólo formulario de lógin por sitio sino que puedieran eventualmente usar diferentes apuntanto al mismo script de validación.

De hecho .. en este mismo mensaje (ya sé que lleva ya muchas páginas y mensajes) he visto problemas de otro ambito referentes al uso de dicha variables de servidor HTTP_REFERER, cuando la gente lo usa en combinación de ventanas abiertas por javascript .. dicho dato no es entregado por el navegador al servidor y por ende falla esa porción del código. En otros casos, configuraciones de ciertos proxys y/o antivirus (con esas funcionalidades) no entregan o adulteran el valor de "HTTP_REFERER" ...

La solución para estos casos ya la he dado várias veces .. aunque asumo que debería de una vez por todas modificar el script original y quitar esa porción del código dejando fija a un valor del URL donde tengas el formulario de "login" en la variable (si mal no recuerdo) $redir.

Sobre más problemas en sí de seguridad de "HTTP_REFERER" no he tenido oportunidad de probarlo (en general). Si tienes oportunidad de probarlo (con más ejemplos y si corresponde aplicado a PHP estaría bueno hacer ese analisis .. no por mi aplicación en sí .. sino por todas las que lo usan: sistemas de estadisticas de visitas .. etc ..

Un saludo,