techno,

io ho avuto difficoltà a leggere il tuo italiano invece

comunque google, ha tradotto l'accenno di Filippo in questo modo:
"L'indirizzo della pagina (se esiste) che di cui l'agente utente alla pagina corrente. Questo è fissato dallo user agent. Non tutti gli agenti utente di questo, e alcuni offrono la possibilità di modificare HTTP_REFERER come caratteristica. In breve, non si può davvero fidare."

Quindi come vedi, di HTTP_REFERER non ci si può fidare ed è manipolabile.