Hola:

No había prestado demasiada atención a la posibilidad de que el 'agente de usuario' no defina o modifique HTTP_REFERER.
Una aclaración sobre esto: El 'agente usuario' imagino que debe ser quien utiliza el script, con su máquina y su configuración. ¿Es así?.

Otra cuestión: Entiendo que utilizar $_SERVER['PHP_SELF'] ; debe ser en todos los casos seguro ya que es una construcción propia e interna del script y por tanto independiente de quien y cómo se solicite. ¿Es así?.

Gracias por vuestras aclaraciones. El tema me interesa porque estoy usando REFERER para un script de recomendación de página. Realmente, la solución que indica Cluster es más segura. (Perdona NICOLASPAR, pero la tuya no la comento porque realmente no acabo de entenderla, pero seguro que es buena)

Saludos.