duda con php y post

saludos.
primero que todo me gustaria saludarlos a todos, pues es la pra vez que posteo
pero desde hace un tiempo para aca vengo leyendolo :P

he estado programando con php y ajax (con jquery) y me ha surgido
una pequeña duda.

supongamos el siguiente escenario.

quieres borrar un registro de una tabla utilizando ajax para que se borre "instantaneamente"
y cuando recargue la pagina, se muestren los datos pero sin el que se acabo de borrar.
con jquery puede ser algo asi:

$.post{"http:/x.x.x/registro/borrar.php", "id:"+id, function(){alert("borrado con exito");}}


por seguridad, supongo que el archivo borrar.php, antes de recivir los datos.
comprobaria si existe o no $_POST.

if(!$_POST){
echo "error bla bla bla";
die();
}else{
// en caso de q exista, borrar el registro con id $_POST['id']
}

la duda entra aca:

como podria mejorar lo de la seguridad en el archivo delete.php ?
pues, me entro la duda porque:

imaginemos que la aplicacion esta en internet, y me entero que ese archivo delete.php recive un argumento
para borrar un registro, facilmente podria crearme un simple script en javascript q haga esto:

$.ajax({
type: "post",
url: "http://x.x.x/registro/delete.php",
data: "id=11",
success: function(data){
alert(data + " humm se borro y desde mi pc con otro script");
}
});

lo he probado con firefox y no.. no funciona, saca el mensaje normal de
"Permiso denegado para llamar el método XMLHttpRequest.open"

lo intente con konqueror y sorpresa!!. funciono...


humm que pasaria si hiciera un ciclo de 1-10000 y por cada numero ejecutara el codigo ajax?.

no se.. esa es la duda que tengo.. como se podria mejorar esa parte??
con sesiones?? pues, es lo unico que se me ocurre.

muchas gracias y.. disculpen lo largo del post pero fue la unica forma de explicarlo :P

Oops... tengo la misma duda, espero que alguien sepa la respuesta.

puedes chequear distintas variables $_SERVER para comprobar el origen de la petición, si concuerda con tu dominio... le das acceso, sino.... un simple die()

es lo único que se me ocurre, quizá mas tarde comente algo mejor... (no hay tiempo)

suerte!

lo de comprobar por $_SERVER me parece bien..
investigare mas al respecto =)


gratcias.

Me aparecen dos dudas sobre lo comentado en este tema:
1. ¿Utilizas gestión de usuarios? Ese sería la primera capa de seguridad: Sólo permitir borrar registros a los usuarios con permisos de borrado. Así, aunque te "ataquen" el delete.php, al no estar el usuario validado no debería pasar nada.
2. ¿La llamada AJAX funciona con Konqueror? Pues diría que es un agujero del Konqueror... En teoría, el navegador sólo deja abrir conexiones XMLHttpRequest hacia el mismo servidor de la página con el script. Es decir, yo no puedo hacer una página que se conecte por AJAX a tu servidor. De todas maneras, este segundo punto se soluciona con el primero.

Saludos.