Aber das widerspricht sich doch. Wenn session.referer_check keine Vorteile bringt, dann kann es doch nicht gut sein darin eine Zeichenkette einzusetzen?!

Nur weil es keine Vorteile bringt, muß es ja noch lange keine Nachteile mit sich bringen. Wobei ich das insofern relativeren muss, als das es hier um nennenswerte Vorteile geht und doch einen klitzekleinen Nachteil hat.

• Der Referrer ist, wie Andreas bereits schrieb, relativ leicht zu manipulieren, relativ im Vergleich zum Erraten oder Ausspionieren einer aktiven Session-ID. Die zusätzliche Sicherheit durch referer_check ist daran gemessen kaum der Rede wert.
• Anonymisierer senden bisweilen Müll anstatt den Referrer zu unterdrücken. Allerdings sind Funktionen zum Schutz der Privatssphäre in vielen Browsern mittlerweile eingebaut, womit sich derartige Zusatzsoftware erübrigt.

Vielleicht ist es ein Nachteil, daß ein Zugangsberechtigter nicht mehr von einem leeren Browserfenster zur login-Maske gelangen kann?

Nein, die Session kann man auch problemlos noch starten, nachdem Benutzername und Passwort für gültig erklärt wurden. Meiner Meinung nach sollte man das sogar, denn erstens bedeutet dann schon die Existenz einer Session in jedem Fall einen angemeldeten Benutzer, während bei der Methode Session-schon-vor-Login die Session auch für Leute existieren würde, die sich noch überhaupt nicht identifiziert haben. Und zweitens hasse ich unnötige Cookies.

Außerdem greift referer_check nur zu, wenn vom Browser auch ein Referer gesendet wurde. Dies ist bei Eintippen der URL nie der Fall und beim überwiegenden Teil der Browsern auch dann nicht, wenn die URL aus den Lesezeichen aufgerufen wurde.