Io non riesco a spiegartelo meglio, se il server è protetto adeguatamente dal hosting e tu sviluppi le query e il codice senza falle (vedi SQL injection) puoi stare tranquillo che tramite Ajax non possono fare nulla.


P.S. E non esiste Ajax per i colossi (google, yahoo, etc...) altrimenti essendo Ajax uno standard (cioè riconosciuto da tutti i browser) se fosse un ajax proprietario come potrebbe funzionare sul tuo browser?