host.13Далее когда конечный клиент заходит в личный кабинет, нам надо определить чей это клиент. Особенность архитектуры такова, что это нельзя сделать только по логину. Определять компанию мы хотим по $_REFERER. На сколько это безопасно?Если задаете вопрос о безопасности, то не следует использовать REFERER в принципе. Считайте, что это третье поле после логина/пароля, куда клиент может написать все что угодно.

Попробую угадать, что хотите сделать. Один клиент может представлять несколько компаний. Из реферера собираетесь исключительно с целью автоматизации брать домен компании и затем идентифицировать некого пользователя vasya как представителя одной из компаний, которые он имеет право представлять (например, company.com и company.ru, но не company.org). В принципе, то же самое можно сделать после стандартного логина пользователя (по обычным логин/паролю или майлу/паролю), предоставив пользователю выпадающий список или группу радиобаттонов с названиями представляемых компаний. Вроде бы, в таком случае проблем не должно быть и от реферера. Ну, если только, у клиента окажется какой-то хитрый плагин, скрывающий реферер

Проблема будет в другом. Не всякая компания в состоянии безболезненно сделать себе субдомен вида web.<имя компании>.ru. У кого-то просто "нет специалиста" для выполнения этой работы, хоть она и не слишком сложна. Кому-то придется перебросить управление зоной своего домена на другие неймсерверы потому что "текущий тарифный план не предусматривает внесение пользовательских изменений в ДНС".
В этом смысле Вам гораздо проще сделать субдомены вида client-company.your-project.ru, чем мучить клиента действиями, в которых он ни черта не смыслит.

Мдя... А ведь для реферера надо еще и ссылку где-то разместить. Как решить эту проблему наименее напрягая клиента - не берусь судить.