Así es .. la cabecera HTTP_REFERER que contiene la información de la página anterior de donde viene ... no es entregada en muchos casos: firewalls, antivirus -con- firewall, proxy's y navegadores (abriendo ventanas y similares) no entregan esa información .. así que no es muy confiable usar ese dato como dato "crítico".

Lo ideal y más efectivo en la mayoría de casos es usar sesiones o cookies en su defecto si los links provienen de tu própio sitio y deseas validar que eso mismo .. Usa sesiones, iniciala al ingresar a una de tus páginas de tu sitio y verificas su existencia en las subsiguientes.

Un saludo,