Ciao.
Prima di tutto farei un controllo del genere:
var_dump($_SERVER['HTTP_REFERER']);
e poi prima fai il controllo su $refer e poi assegni
il valore
semmai empty($_SERVER['HTTP_REFERER']) questa
è una ripetizione $refer=="" e ancora vista inaffidabilità
di $_SERVER['HTTP_REFERER'] ha poco senso una cosa
del genere isset($_SERVER['HTTP_REFERER']) per testare
se un utente hai i privilegi richiesti.