Mi hai frainteso non uso $refer per testare se l'utente ha i privileggi ma per reindirizzarlo ad una pagina, il concetto è questo:

[pagina protetta] hai le credenziali di accesso?

SI -> allora visualizzo il contenuto.

1) NO -> rimando alla pagina di login;
2) effettuo il login (se tutto ok)
3) se login corretto rimando alla pagina protetta (pagina chiamante).

Il perche ho messo tutti quei controlli è perche per l'appunto non riesco a impostare la variabile refer una sola volta solo se vuota.

e poi prima fai il controllo su $refer e poi assegni...
Ma $_SERVER['HTTP_REFERER'] naturale che non sià vuota un controllo sulla stessa sarebbe inutile?

Ciao grazie