Ver la cabecera HTTP_REFERER en general no es muy seguro .. Es un dato que como bien dice josemi no es entregado si pasas la conexión por un firewall/proxy .. o dependiendo del navegador y hasta ("parece?") que tampoco entrega ese dato Flash ...

Y .. para colmo .. si ves al HTTP_REFERER como una forma de seguridad y ver desde que página se realizó la petición .. es fácilmente adulterable ese dato.

Un saludo,