Чтение этого примера Ajax,
http://wiki.developers.facebook.com/index.php/FBJS/Examples/Ajax#Working_Example
Я нашел следующую строку. Я не уверен, что из этого понять, как вы "проверяете значения sig для спецификации платформы"?
"Примечание. Для краткости мы доверяем $ _POST ['fb_sig_user'] без проверки полной подписи. Это небезопасно, поскольку любой может легко подделать действие пользователя. Всегда обязательно используйте любой объект Facebook, который поставляется с клиентские библиотеки или проверьте значения sig в соответствии со спецификацией платформы "
Вы находитесь под платформой приложения Facebook, если есть какая-либо утечка в безопасности, это вина их платформы, API. Другими словами, вы в полной безопасности.