Ho creato questo script in AJAX per aggiornare il contenuto di un div senza dover aggiornare tutta la pagina:

script.js
Codice PHP:
function update (objectcontainer) {
    if (object.length>0) {
        var url="./script/update.php?page="+object;
        XMLHTTP=switchBrowser(function () { setContent(container) });
        XMLHTTP.open("GET",url,true);
        XMLHTTP.send(null);
    }
    else {
        document.getElementById(container).innerHTML "";
    }
}

function setContent (container) {
    if (XMLHTTP.readyState==4) {
        var element=document.getElementById(container);
        element.innerHTML=XMLHTTP.responseText;
    }
}

function switchBrowser (browser) {
    if (navigator.userAgent.indexOf("MSIE")!=(-1)) {
        var cat="Msxml2.XMLHTTP";
        if (navigator.appVersion.indexOf("MSIE 5.5")!=(-1)) {
            cat="Microsoft.XMLHTTP";
        }
        try {
            objectXMLHTTP=new ActiveXObject(cat);
            objectXMLHTTP.onreadystatechange=browser;
            return objectXMLHTTP;
        }
        catch(e) {
            alert("Errore");
        }
    }
    else {
        objectXMLHTTP=new XMLHttpRequest();
        objectXMLHTTP.onload=browser;
        objectXMLHTTP.onerror=browser;
        return objectXMLHTTP;
    }

update.php
Codice PHP:
<?php
    $page=$_GET['page'];
    include("../".$page);
?>
In questo modo è possibile, da parte dell'utente, inserire come parametro object un file riservato. Come posso impedire all'utente di passare i valori che vuole alla funzione?