简化：在我的JS / PHP应用程序中，我有一个按钮。当用户单击按钮时，他得到1分，该分通过jQuery AJAX / PHP保存在数据库中。

当然，用户现在无需单击按钮即可调用发出AJAX请求的脚本。有什么最佳实践可以避免这种情况？

我使用AJAx是因为我不想重新加载页面。

更新：
用户还有许多其他方式可以赚取积分。从概念上讲，我将有一个JS函数add_points（points）为用户添加点。但是我知道任何人都可以编写脚本来自动调用此函数。我猜唯一的方法是生成每个可能的赚取收入操作的哈希值，并将此哈希值与AJAX请求一起提交。

如果允许用户点击任意次数，则没有真正的方法可以阻止它自动执行。如果只应单击一次（例如，对stackoverflow进行投票），则服务器用于更新值的代码应自动确认她没有单击该值，即检查数据库。