ojo, lo he sacado del manual en español de php.net:
'HTTP_REFERER'
La dirección de la página (si la hay) la cual refirió al agente de usuario a la página actual. Este valor es definido por el agente de usuario. No todos los agentes de usuario lo definen, y algunos proveen la capacidad de modificar HTTP_REFERER como una característica del software. En resumen, no se puede confiar realmente en este valor.
En resumen, no se puede confiar realmente en este valor!!!
aqui está el link
http://cl2.php.net/reserved.variables