Validare una chiamata AJAX o presunta tale si può fare tramite un HTTP Header particolare: HTTP_X_REQUESTED_WITH. Il browser che effettua una chiamata AJAX imposta sempre questo header e lo valorizza a “XMLHttpRequest”. Quindi verificando questo header si scoprirà se la chiamata è reale o è stata generata (quindi non è affidabile e bisognerebbe bloccare la risposta).
function is_ajax() {
return (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && ($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest'));
}