Одна точка входа

Подскажите, пожалуйста.
У меня в скрипте одна точка входа. Все запросы в htaccess перенаправляются на файл index.php
1.Нужно-ли защищать файлы скрипта от прямого доступа?

2.Достаточно-ли для ajax файлов проверки запроса (помимо проверки данных)
if(!isset($_SERVER['HTTP_X_REQUESTED_WITH']) || empty($_SERVER['HTTP_X_REQUESTED_WITH']) || strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) != 'xmlhttprequest')
{

exit();
}

(Отредактировано автором: 20 Апреля, 2020 - 15:03:47)

1. Обязательно, иначе устанешь предусматривать все возможные варианты злоэффекта от прямого доступа и гарантировано допустишь уязвимость рано или поздно. Лучше и надежнее всего, чтобы все файлы, к которым не должно быть прямого доступа были вне DOCUMENT ROOT.
То есть пусть будет папка public в которой будет только index.php и статика и она пусть и будет DOCUMENT ROOT. Остальное лежит вне и подключается.

2. А вот проверять ajax что он ajax я не вижу смысла вообще. Только мешать будет при разработке.