Protectie pentru Ajax

Am gasit undeva o idee pentru blocarea accesului direct la unele pagini care au fost create special pentru a fi incarcate prin ajax.

[php]
<?php
if (!isset($_SERVER['HTTP_X_REQUESTED_WITH']) || $_SERVER['HTTP_REFERER']!='http://www.siteultau.ceva/fisier.php')
{
die('bine pa');
}
?>
[/php]

Am incercat si functioneaza.
Mai aveti alte variante ?

Din păcate nu te poți baza prea mult pe acea soluție pentru simplul fapt că header-ul Referer este opțional, și poate fi modificat destul de ușor.

Îți recomand să folosesți un token de securitate, pe care să îl păstrezi în sesiune de exemplu, și pe care îl trimiți împreună cu request-ul Ajax. Dacă token-ul corespunde, request-ul este valid.

Ideea este ca din start nu poti accesa nimic in afara de pagina de start daca nu esti logat si acolo oricum nu e ajax.
Daca fac cum zici tu, utilizatorul tot va putea accesa paginile incarcate prin ajax.
Generez acel token, il incarc in sesiune, trimit acelasi token si catre pagina ajax si verific daca sunt identice.
Daca el pune acel token in link (pentru ca evident este vizibil undeva in susrsa) , tot poate accesa pagina respectiva.