En tu caso .. define manualmente el valor para $redir y omite toda referencia a la variable "HTTP_REFERER" ..

Dicha variable va bien (bueno .. no tan bien) para ofrecer cierta versatilidad al script cuando se usa en las condiciones que se diseño: "para zonas que requieran autentificación siempre", en ese caso, .. bajo esa variable se obtiene de que página viene el usuario y .. supuestamente si hay algún error, se devuelve el mensaje de error (por el URL en una variable) a dicha página (donde tendrías el formulario de "login" própio) .. sin depender de uno en concreto.

Por lo demás .. al eliminar dicha validación de esa variable de servidor no afecta para nada a la seguridad del script a "proteger" ..pues para eso ya se validan las sesiones igualmente.

Un saludo,