Modo migliore (più sicuro) per chiamare PHP da Js

[Vindav]

cioè invece di prendere i dati da un GET o POST lo fa da SESSION (perchè? non so, penso per motivi di sicurezza).

Per motivi di sicurezza lo dubito, non è che semplicemente i dati si trovano in sessione invece che nella request(vengono inseriti precedentemente da php)? Devi spiegare meglio però, altrimenti si possono fare solo ipotesi. A priori posso dirti che quei dati (elenco di chiavi) li puoi inviare tranquillamente in POST, mentre puoi lasciare i restanti dati in sessione(se già presenti). Se anche ci fosse qualche modo per inserire questi dati in sessione da js(per quanto ne so non è possibile porprio perche si parla di ambienti diversi), questa operazione sarebbe cmq visibile sul client, quindi non cambierebbe nulla rispetto ad una POST per livello di sicurezza.

[MySQL]

Per motivi di sicurezza lo dubito, non è che semplicemente i dati si trovano in sessione invece che nella request(vengono inseriti precedentemente da php)?

I dati vengono proprio caricati nella SESSION da un altro file PHP, e lì non ci sono problemi (è usata in sostanza come una variabile globale, e vabbè, ci può stare)

A priori posso dirti che quei dati (elenco di chiavi) li puoi inviare tranquillamente in POST...

Certo che posso, anche GET ovviamente.
... MA... il file PHP "non è mio"

Se anche ci fosse qualche modo per inserire questi dati in sessione da js(per quanto ne so non è possibile porprio perche si parla di ambienti diversi), questa operazione sarebbe cmq visibile sul client, quindi non cambierebbe nulla rispetto ad una POST per livello di sicurezza.

Tenderei ad assentire.
In effetti, se non trovo soluzioni migliori, pensavo di "clonare" il PHP e modificarlo per i fatti miei mettendoci dentro direttamente l'interfaccia GET, chiamandolo brutalmente da javascript senza tanti patemi d'animo.
Però c'è un però, ovvero la funzione PHP fa qualcosa di oggettivamente piuttosto pericoloso (fa il download dei file), e la cosa un pochino mi turba, devo rifletterci meglio.