[pelmered]

Ja, precis. Det är ju ingen skillnad ur säkerhetssynpunkt.

Du har ju fortfarande samma sessionkontroll m.m. när det gäller AJAX-anrop så jag ser inte problemet. All data skickas ju lika okrypterat utan AJAX.
All datahantering förutom presentationen hanteras ju fortfarande serverside så här har du samma säkerhet.

Du ska ju inte sköta någon logik med javascript utan att även kontrollera indatan serverside. Att göra kontroller av formulärdata m.m. med Javascript ger en bättre användarupplevelse än att man bara kontrollerar allt serverside så att hela sidan måste laddas om. Men detta är bara för att just förbättra användarupplevelsen, alla kontroller av indatan måste även ske serverside i dina PHP/ASP/JSP/etc.-script för att det ska vara säkert.
Javascript och AJAX är alltså bara ett komplement för att kunna göra trevligare WUIs och inte på något sätt en ersättare för webbsidans logik och datahantering.