Ya...

Bueno, en ese aspecto, también se puede falsear (de manera más fácil) el $_GET['rel']... no?

El $_SERVER['http_referer'] (creo) es una buena alternativa, ya que no necesitas ningún dato extra...

Otro aspecto sería cambiar el $_GET por $_POST... pero estamos en las mismas; un usuario podría "falsifiar" el $_POST['rel']...

En fin, supongo que alguna manera habrá más válida que la que he posteado yo... aunque solo pretendía dar una solución rápida y sencilla.

Saludos.