guarda che nessuno impedisce a chi guarda la pagina di leggerne il codice HTML (altrimenti come farebbe a vederla) e quindi di leggere le funzioni JS che ci sono. A chiunque basterebbe leggere il path al file asynchf.php e farsi una sua pagina HTML con una sua form che effettui il post e get delle variabili che vuole modificare. Questo si può applicare a qualsiasi form su qualsiasi sito.

Quello che tu devi fare, in quanto Programmatore PHP, è implementare una serie di controlli lato server proprio per evitare questo tipo di problema. Un esempio? Se l'utente puoi editare un certo id e un altro no, allora hai un sistema per autenticare l'utente in questione, di solito tramite Username e Password associate ad una riga del DB, con i dati che poi salvi in sessione, allora quando fai una richiesta di modifica su un valore tramite l'id devi controllare che l'utente salvato in sessione abbia i privilegi di poter modificare quella riga, sennò sai che casino viene fuori!