Hola Luis, una pregunta, por que dices que está ejecutando directamente la página de error? a mi me suena como que efectivamente está ejecutando este script envíando técnicas de SQL injection, para comenzar yo te sugeriría que parametrizaras esas dos consultas.

Recuerda que si dices que lo ejecuta directamente basado en que el referer llega vacio es incorrecto, pues el referer solo escribirá en los headers si es disparado por una acción en el cliente, por lo cuál un redirect no tendrá referer.

Saludos