dal punto di vista della sicurezza non mi sembra meno sicuro di una form in html che chiama una pagina lato server. Ti consiglierei di modificare la pagina check_username.php, facendo in modo che il $_SERVER['HTTP_REFERER'] sia il tuo sito e non un url esterno. Inoltre, faresti bene a mettere entrambe le pagine (quella con la form e check_username.php) sotto HTTPS in modo che i dati non siano leggibili. Infine, metti anche il controllo che $_SERVER['HTTPS'] di check_username.php sia !empty() in modo da essere sicuro che la comunicazione sia criptata.