1. Обязательно, иначе устанешь предусматривать все возможные варианты злоэффекта от прямого доступа и гарантировано допустишь уязвимость рано или поздно. Лучше и надежнее всего, чтобы все файлы, к которым не должно быть прямого доступа были вне DOCUMENT ROOT.
То есть пусть будет папка public в которой будет только index.php и статика и она пусть и будет DOCUMENT ROOT. Остальное лежит вне и подключается.
2. А вот проверять ajax что он ajax я не вижу смысла вообще. Только мешать будет при разработке.
|