AJAX e Sicurezza di un sito non sono mai nella stessa frase, a mio modesto parere.
Questo perché tutti i controlli lato client possono essere tranquillamente aggirati da utenti mediamente smaliziati, ma anche da utenti che hanno disabilitato il javascript nel loro browser!

Detto questo, più che lo user agent, si dovrebbe usare il referrer, applicare i token e fare attenzione agli input passati dagli utenti.
Nella sezione GUIDE di questo sito c'è una guida molto interessante: GUIDA ALLA SICUREZZA IN PHP.
Ci sono molti esempi utili ed è di facile comprensione.