Jako, że na ajax'ie się nie znam, kiedyś pytałem tutaj jak rozpoznać czy z danym plikiem łączy się skrypt ajax czy też człowiek. Poradzono mi takie rozwiązanie:

[PHP] pobierz, plaintext 
define('IS_AJAX', isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest');
 
if ( !IS_AJAX )
{
   die('to czlowiek sie laczy!!!');
}
else
{
   // skrypt ajax
}
[PHP] pobierz, plaintext 

Pytałem też i nie tylko tutaj czy to jest bezpieczne, czy nikt się przez to nie przebije poza samym ajax'em i dostałem odpowiedzi, że nie, że to tylko ajax takie nagłówki wysyła. Dziś mi facet pokazuje, jak mój skrypt obejść w 30 sekund, wysyłając za pomocą curl'a powyższy nagłówek...
Więc zapytam jeszcze raz - czy jest jakiś sensowny sposób na zabezpieczenie skryptu tak, aby dany plik .php mógł odpalić TYLKO ajax?

Na szczęście nie ma takiego

Tylko po co utrudniac sobie zycie? Co za roznica czy to ajax czy nie ajax? Dam Ci rade: odpusc sobie takie pseudo zabezpieczenia i skup sie na tym, co na prawde wazne (SQL injection, XSS).

Po odpaleniu tego pliku, wykonywane są zapytania do bazy danych i to nie byle jakie bo dotyczą rejestracji, więc co mi z tego, że zabezpiecze to od strony sql injection, jak każdy może wpisać na sztywno adres do strony, wrzucić fałszywy nagłówek i... wałek.

Dalsze ciagniecie tego tematu nie ma sensu. Jezeli panicznie boisz sie, ze skrypt nie zostanie wywolany ajaxem to nie programuj webowo. Co z tego, ze rejestracja? Co za roznica, czy rejestracja nastapi ajaxowo czy nie? Rownie dobrze mozna wywolac skrypt przez file_get_contents i ustawic odpowiedni konetekst http i bedzie to wygladalo dokladnie tak samo, jak ajax.

Jak CuteOne napisa: nie ma mozliwosci 100% sprawdzenia, czy skrypt zostal wywolany ajaxem.