Creo que están confundiendo las cosas...

Ya tengo tabla de usuarios y también de roles, el problema, como lo comente en un principio es que, aunque un usuario no tenga los roles para obtener cierta información, si este edita los datos que se envían por AJAX podría por ejemplo sustituir el id de su rol y obtener mas información de lo debido.

Por ello implemente un método de 3 niveles de seguridad

Primero: en PHP encripto toda la información que enviare por AJAX, y solo se puede desencriptar esta información del lado del servidor con una clave.

Segundo: dentro de los datos encriptados que envío, va una segunda clave, en el lado del servidor comparo esta clave y de no concordar anulo la operacion.

Tercero: en los datos que envio, también van los datos del usuario y en el lado del servidor vuelvo a consultar la DB para comparar estos datos, si estos no concuardan cancelo la operacion.

por ultimo, si cualquiera de estros pasos anula la operación, quedara un registro en la sesión, cuando la cantidad de registros llegue a un numero determinado, el servidor dejara de entregar resultados.