Non ci siamo.
Innanzitutto gli errori mettili tutti, notice compresi.
Poi manca uno straccio di controllo sulle variabili che ti arrivano.
Nessun controllo, nessun filtro, nessun escape.
Prima di fare l'ajax, che è fighissimo, per carità, ma è solo un abbellimento, devi pensare alla sicurezza di base.