php $_SESSION['HTTP_REFERER']返回上一页面

只有点击超链接（即<A href=...>） 打开的页面才有HTTP_REFERER环境变量， 其它如 window.open()、 window.location=...、window.showModelessDialog()等打开的窗口都没有HTTP_REFERER 环境变量。
写个函数吧 简单的可以、起到防盗链作用
<?
  function   checkurl(){   
  //如果直接从浏览器连接到页面，就连接到登陆窗口   
  //echo   "referer:".$_SESSION['HTTP_REFERER'];   
  if(!isset($_SESSION['HTTP_REFERER']))   {   
  header("location:   login");   
  exit;   
  }   
  $urlar   =   parse_url($_SESSION['HTTP_REFERER']);   
  //如果页面的域名不是服务器域名,就连接到登陆窗口   
  if($_SERVER['HTTP_HOST']   !=   $urlar["host"]   &&   $urlar["host"]   !=   "202.102.110.204"   &&   $urlar["host"]   !=   "http://www.cnblogs.com/huangleilei/p/6673460.html")   {   
  header("location:   login.php");   
  exit;   
  }     
  }   
checkurl()
?>

需要注意的是，$_SERVER['HTTP_REFERER'] 完全来源于浏览器。并不是所有的用户代理（浏览器）都会设置这个变量，而且有的还可以手工修改 HTTP_REFERER。因此，$_SERVER['HTTP_REFERER'] 不总是真实正确的。

通常下面的一些方式，$_SERVER['HTTP_REFERER'] 会无效：

1. 直接输入网址访问该网页。
2. Javascript 打开的网址。
3. Javascript 重定向（window.location）网址。
4. 使用 meta refresh 重定向的网址。
5. 使用 PHP header 重定向的网址。
6. flash 中的链接。
7. 浏览器未加设置或被用户修改。

所以一般来说，只有通过 <a></a> 超链接以及 POST 或 GET 表单访问的页面，$_SERVER['HTTP_REFERER'] 才有效。

由于 $_SERVER['HTTP_REFERER'] 对 POST 表单访问也是有效的，因此在表单数据处理页面一定程度上可以通过校验 $_SERVER['HTTP_REFERER'] 来防止表单数据的恶意提交。但该方法并不能保证表单数据的绝对正确，即对表单数据的真实性检测并不能完全依赖于 $_SERVER['HTTP_REFERER'] 。