i controlli li ho messi.
come scrivevo prima ho inserito dei controlli per impedire injection.

ma ad ogni modo mi sarebbe piaciuto fare anche un controllo sulla provenienza effettiva della richiesta.

al momento la provenienza la valido con il HTTP_REFERER
ma come è scritto sul manuale non è una cosa molto attendibile.

quindi speravo o ipotizzavo che ci fosse la possibilità da parte di jquery di inviare alla pagina php o asp un informazione che indichi effettivamente la veridicità della provenienza.

ma probabilemnte qualunque informazione io possa allegare essendo comunque un metodo post, potrà probabilmente essere intercettata rendendo vano il metodo.

essendo un sito molto piccolo dubito magari che qualcuno si impegni tanto, ma non si sa mai.