$_SERVER['HTTP_REFERER'] NUNCA debe ser usado como sistema de seguridad, ya que es muy fácil manipular, eh incluso peor, no todos los navegadores y a su vez no siempre es enviada, por lo tanto es lo peor que puedas usar =/