Nada que ver aquí, dispérsense. Acabo de encontrar la respuesta.
Obtenía el parámetro de la URL mediante el siguiente código:
$ref = $HTTP_GET_VARS["ref"];
Así que lo he metido de nuevo en mitad del
código de la siguiente manera:
<form name="form" method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>
?ref=<?php
$ref = $HTTP_GET_VARS["ref"];
echo "$ref"; ?>">
No era tan difícil, ¿verdad?
Ahora voy a meter consultas a la base de datos en la "zona protegida", a ver qué tal queda.