Un detalle ... sobre:
- En primera, habilitar que todos los formularios y los querys, realmente provengan de tu página, y no de otro lado. ($PHP_REFERER)

HTTP_REFERER y .. mejor accederlo por el array superglobal $_SERVER

Esa variable de servidor es informada por el cliente que conecta al servidor HTTP .. por ende es fácilmente que se modifique/altere. No es una buena "seguridad" ...

Lo ideal es usar registro de usuarios acompañado de seguimiento de estos por sesiones en las páginas de la aplicación.

Un saludo,