Ок . Ну вот смотри ,как пример нашел в глубинах сети статейку
http://www.xakep.ru/post/46875/default.asp?print=true

Про сессии - понятно , но очень просто для маломальски подготовленного хаккера .. Вот вариант защиты с сопровождением каждого запроса строкой while(1); а потом проверка есть ли оно ( если я все правильно понял , если нет - поправь буду только признателен ) - эт вроде как поинтереснее ...
В принципе вот об этом и спрашиваю ..
Если не сложно напиши пример как бы ты обработал данные ..
Благодарю .

Не стоит думать что AJAX это прям ужас в плане безопасности
Это простая технология которая позволяет в фоновом режиме отправлять запросы на сервер и принимать от него ответы. Она, по сути, ничем не отличается об обычного перехода браузера по ссылкам - и там и там вы делаете обычные запросы к серверу с определёнными параметрами в URL или теле запроса. Так что здесь для защиты стоит использовать стандартные правила типа экранирования спец-символов при помещении пользовательских данных в SQL-запрос.
Что касается "while(1)", то это защита от JavaScript-Hijacking. Чтоб особо не заморачиваться, можно отдавать с сервера необходимый JSON (или JSONP-конструкции) проверяя тип или природу запроса - если совершён POST-запрос или он совершён AJAX`ом. JSH возможен только когда вы получаете JSON GET-методом т.к. включение его тела в код страницы, при проведении JSH, осуществляется именно GET-методом.

Конкретный пример :
1) Принимаем значение в функцию ,
2) Проверям на то что это номер (должен быть только номер) - достаточна ли такая проверка ?
3) Посылаем запрос файлу aj.php который в соответствии с номером выведет в div нужную информацию

function GetArt(p){
	 if(!isNaN(p)){
	 var xmlhttp =  CreateRequest();
			xmlhttp.open('GET', "aj.php?num="+p, true );
			xmlhttp.onreadystatechange = function() {
			  if (xmlhttp.readyState == 4){				  
				var x=document.getElementById('ajM');
				x.style.display='block';
				x.innerHTML=''+xmlhttp.responseText;
				if(p==0){x.style.display='none';}
			  }
			}
			xmlhttp.send(null);
	     }else{ return ;}
	 }

В файле aj.php которому пришел запрос проверка следующая
1)Проверили на то что это номер и что он больше нуля
2)Для особо хитрозадых таки превращаем значение еще раз в номер
3)Проверенную переменную толкаем в простенький запрос .

if(isset($_GET['num']) && is_numeric($_GET['num']) && $_GET['num']>0){
$num=(int)$_GET['num'];
$sql="SELECT * FROM `smth` WHERE `Id`={$num};";

и т.д.

Достаточно ли ? Укажите где что поменять или добавить на ваш взгляд (если он конечно профессиональный) . Белый тигр - ты вроде знающий - в конкретном примере что можешь посоветовать ?

Поддерживаю PHPprogramer - проще все проверки заменить простым преобразованием в числовой тип. Только тогда не

Белый Тигр

Насчет паранои - проект в разработке , конечно перед выпуском все подобные штучки будут приведены в порядок . С другой стороны - защиты много не бывает - даже если все три функции в параноидальном порядке совершают одно и то же действие
Насчет фрейморков - согласен , для простой по идее задачи как то нелогично подключать такой лишний объемный "jQuery" . Да ведь и jQuery - это тот же самый JavaScript .
А вот по поводу классов (типа MDB2 для SQL-запросов) хотелось бы спросить .
Во первых насколько я знаю это прерогатива не только меня как кодера но и хостинга . Хоть он (хостинг) у меня и совсем неплохой - лишний треп с ними думаю не на пользу . Разве не достаточно будет для вывода информации с БД использовать не сами таблицы а их виды то бишь VIEW .
Ну а конечно там где например пользователю позволено внести что то свое - проносить это все через mysql_real_escape_string а выводить только с htmlspecialchars.
Чем еще мне могут помочь такие классы как MDB2 и его собратья???
Благодарю за ответы.

andrey888 если хакерам надо будет взломать твой сайт, первое что они будут проверять на дыры, не твой ajax, а сервер чтобы получить шел доступ и там уже все править, а именно твои файлы.

Если тебя устроит, то почитай про XMLHttpRequest.

Ну SSH на моем сервере вроде как закрыт , да и хостинг следящий за своей репутацией . За это я как раз и не беспокоюсь , а беспокоюсь за SQL injection аттаки и XSS . Функции упомянутые мной в конце второго абзаца предыдущего сообщения от этого как раз и защищают , но при использовании AJAX думалось мне есть некие "дополнительные" места на которые стоит обращать внимание .
Благодарю.

;;при использовании AJAX думалось мне есть некие "дополнительные" места
;;на которые стоит обращать внимание .

скажем, так... при использовании Ajax нужно особенно внимательно смотреть за отсутствием в своем коде XSS - в идеале страница, использующая ajax, не должна содержать никаких $_GET и $_POST переменных... XSS сама по себе опасна, а при использовании ajax ее опасность возрастает в десятки раз (;

Благодарю всех за ответы . Уважуха всем большая .