1) .. puedes eliminar el código que hace referencia a la validación de "HTTP_REFERER" .. realmente dá muchos problemas vs las ventajas que ofrece con respecto a ofrecer la posibilidad de devolver los errores a la página que los origina (el formulario de login).

2) .. Si vas a usar dos tablas .. la relación que necesitas es 1 -> 1 para ambas tablas tipo:

tabla alumnos

id_alumno
id_usuario
propiedad1
propiedad2
etc

Y cuando crees a tu usuario (en su tabla usuarios) crear los campos para la tabla "alumnos" .. también puedes usar una sóla tabla para todo.

Ahora .. a nivel interno es así como se relacionará. ID usuario -> ID alumno, el tema que de no se sepa que "ID" de alumno es tu usuario .. bueno en principio no sé por qué deseas hacer eso .. pero todo eso debería validarlo tu aplicación de alguna forma en base a restricciones tipo "tal nivel de usuario no puede ver perfiles de otros usuarios salvo el suyo .. o de cierto nivel solo (tipo Grupos) .. etc".

Si explicas mejor que es y para que lo requieres tal vez veamos soluciones.

Un saludo,