Pues esa parte es para salir rápido del script si accedes directamente a aut_verifica.inc.php (por ejemplo que hagas algo típo: http://www.tusitio.tal/aut_verifica.inc.php ) .. O para evitar accesos directos a una página de tu "zona protegida" si no viene de otra página (de la secuencia de tu formulario de login -> una página autentificada -> otra .. etc ..)

De esa forma (en el script original) salta el error cod. 1 y se termina el script (sin hacer crear una sesion nueva).

Esa variable de servidor "HTTP_REFERER" no lo suelen dar todos los servidores HTTP (bien por qué el cliente acceda desde un proxy o por qué lo limite de otra forma ..).

También esa variable "HTTP_REFERER" me sirve para saber que página está llamando al script y en consecuencia (en el script original) devolver el código de error (los de login de usuario no correcto, o password no correcta . etc ..) a la página que lo llama (normalmente será a tu formulario que uses ..)

Para próximas versiones .. me estoy replanteando quitar esa parte del código .. Pues si bien es "optimo" y hace que el script sea más versatil (pues no depende de un formulario de login mio sino que tu puedes crear el que quieras .. y no sólo uno sino los que quieras simultáneamente ) dá problemas cómo ya has podído comprobar.

Un saludo,