[AJAX] Zabezpieczenie skryptu Opcje

[dado]

Nie mogłem niestety znaleźć odpowiedzi na trapiący mnie problem przez wyszukiwarkę więc pytam. Mam taki problem buduję małą aplikację sieciową dla firmy na ajaxie.
Schemat tak jak wszedzie:

Kod

PLIKI.HTML -> AJAX -> PLIK.php+SQL

I tu pojawia mi się problem zabezpieczenia ppliku php przed dostępem bezpośrednim. W pliku html w js można przecież sobie zobaczyć do jakiego pliku php się odwołuje z jakimi parametrami i odwoływać się bezpośrednio do pliku php jakimiś url Injection automatem kilkarazy na sekundę nawet.

i Tu jest mój problem jak zabepieczyć plik php tak aby był dostepny tylko dla ajaxa z pliku html.

mogę zamiast pliku html zrobić plik php i uruchomoć sesje wtedy wyglądało by to tak:

Kod

PLIK.php(+SESJA) -> AJAX(+SESJA ?) -> PLIK.php+SQL(sprawdza czy jest zmienna x w seji jak jest zwraca dane jak nie wiadomo :)

)

problem jest tylko w tym przypadku jeden: nie wiem jak przekazać parametry sessji przez ajax do piku.php+sql.

Może ktoś z was zderzył ię juz z tym problemem. Nie mogę niestety odwoływać się do pliku php położonego wyżej niż public_html .
Będę wdzieczny za kazdy link podpowiedź lub pomysł.