リファラーの偽装について補足させてください。偽装の可否は以下のようになります。

閲覧しようとしている当人: リファラーの偽装が可能
閲覧しようとする人は別人: リファラーの偽装は不可能

つまり、悪い人がサイトを作って、notshow.php への直リンクを貼ったとして、そのサイトを閲覧した人が自らリファラーを偽装することは可能ですが、そうするシチュエーションが思いつきません。通常は、サイトを閲覧する人はリファラーの偽装などしないでしょうから、正しいリファラーが送られてくるか、リファラーが送られてこないことは、ある程度想定してもよいでしょう。
一方、サイトを作った人が、直リンクの際に別のリファラーが送信されるようにHTMLを書くことはできません。このために、CSRF対策として、リファラーを使う方法が有効なのです。

「ある程度想定してもよい」と書きましたが、ここに絶対性を求めることはできません。前述のように、アセスする当人は偽装が可能だからです。したがって、直リンク禁止の目的が、「概ね禁止できればよい」なのか、「絶対に直リンクにてアクセスされると困る」かによって判断が変わってきます。たとえばサイトで用いている画像を他サイトから直接<img>タグで使われたくない…が、多少の直アクセスは許容可能という場合は、リファラーによる制御もあり得るということです。

加えて補足が2点あります。

まず、現在提示されている方法ですと、リファラーがない場合をエラーとしていますが、これは不適切です。「直リンク」の場合は、リンク元のURLがリファラーとして設定されるので、リファラーは空ではないからです。したがって、このようなチェックの場合は、リンクしてよいURLやドメイン名を基準とした、いわゆるホワイトリストチェックを書く必要があります。

また、別の方が指摘されているように、ブラウザの設定やプラグイン、セキュリティソフトなどにより、リファラーを常に送信しないように設定している人もいます。リファラーによるチェック処理を置くと、本当は直リンクでない正当なアクセスなのに、このチェックでエラーにされて閲覧できない人が出てきます。

したがって、リファラーによるチェックは、企業内システムなど閲覧する人のブラウザの設定等が想定できる場合のみ用いるとよいでしょう。

結論としては、リファラーによるチェツクはまったく無意味というわけではないものの、完全ではないことと、正当な利用者まで拒否してしまう場合があるので、あまり推奨されない、というのが結論です。

php
1//notshow.phpへの直リンク禁止
2if (empty($_SERVER["HTTP_REFERER"])) {
3 //リダイレクト
4 header('Location: リダイレクトさせたいページのURL');
5}

このコードだと利用者の不便を生むだけではないでしょうか？直接そのURLにアクセスしたい場合があったときに困りませんか？（これは直リンクとは言わないと思います・・・直リンクは以下のように「他者のサイト内に存在する画像などを直接imgタグのsrc属性などで参照する行為」を指します）

html
1<img src="http://example.com/img.png" alt="他サイトの画像">

既に回答で指摘されている通り，リファラは偽装可能な項目であって，セキュリティ対策的な意味は一切持ちません．無効化だけならrel="noreferrer"属性をつけるだけでできますし，ブラウザの拡張機能をインストールすれば偽装までできます．

【このコードを書いてもできること】
・noreferrer指定されていない他者サイトのaタグをクリックして飛んで来ること

【このコードのせいで出来なくなってしまうこと】
・WebブラウザのアドレスバーにURLを入力して直接アクセスすること

さて，このコードを書いた目的はなんでしょうか？もし「フォーム送信を繰り返して必要事項を順番に埋めていく」タイプのWebページであれば，セッション変数を使って状態を管理すべきです．

リファラーはあくまでクライアントが送ってくるものですので、いくらでも偽装できます（リファラーを変更可能なFirefox用の拡張機能すらあります）。「間違えてアクセスするのを防ぐ」程度の意味はあるかもしれませんが、セキュリティとしての効果はほぼ皆無です。

逆に、セキュリティソフトウェアを使うことで、「リファラの送信を止める」ような状況もありえます。そうなると、正当なユーザーもアクセスできなくなります。

アクセス制御として本格的に考えたいのなら、別な手法を使いましょう。

直接リンクを禁止 = セキュリティ的に強固
の等式は成り立たないので、セキュリティ問題の有無に関して回答は出来ないですよ。
HTTP_REFERER の偽装も可能ですし。

考えてることをやりたいならリンク元のページでセッションを開始し適当なトークンを埋め込むようにして
notshow.phpにアクセスした時にそのトークンを保持していなかったらエラーページにリダイレクトする
という感じでやればいいんじゃないでしょうか
クロスサイトリクエストフォージェリ対策のような発想ですね
別にセッションでなくてもpostやgetで適切なトークンを投げたときだけリダイレクトしないという対応もできます

セキュリティ的にはリンク元にさえアクセスすればnotshow.phpにアクセスできる状態になりますからリンク元へのアクセスをどう制御してるかに依存します

PHP: $_SERVER - Manual

'HTTP_REFERER'

現在のページに遷移する前にユーザーエージェントが参照していた ページのアドレス（もしあれば）。これはユーザーエージェントに よってセットされます。全てのユーザーエージェントが これをセットしているわけではなく、また、HTTP_REFERER を変更する機能を持つものもあります。 要するに、信頼するべきものではありません。

あんまり当てになりませんね。

とりあえず、まずはリファラーの内容が当該のサーバアドレスを含むかまでチェックは必要かと思います。
あと本気でやるならトークン発行してとか、結構大変だと思います

別に直リン自体がなにか悪いことをしているわけじゃないので放置でよいでしょう
むしろセキュリティ的な話であればログインシステムを導入し
セッションでユーザーIDを確認するほうが重要になります。

リファラーはブラウザのアドオンなど使用すれば変更可能な情報なので、
リファラーでの判定は完全なセキュリティ対策になりません。

notshow.phpへの遷移を、単純なaタグでの遷移ではなく、POST通信による遷移にしてあげると、
cakeやcodeigniterなどのフレームワークにはPOST通信の認証機能がついてますので、
フレームワークの機能を用いた認証ができます。

フレームワークの機能を用いるため、GET通信でのnotshow.phpへのアクセスも可能なはずなので、
notshow.phpにて、POSTパラメータの有無をチェックし、POSTパラメータが無ければ、
header('Location: リダイレクトさせたいページのURL');
へ遷移させる方法もあります。