vamos por partes:

1- usar AJAX no es muy diferente de usar POST y GET, de hecho para PHP es trasparente, a no ser que revises si la petición fue hecha desde XMLHttpRequest y modifiques la respuesta en función de ello; recuerda que AJAX simplemente te ofrece el beneficio de POST o GET sin recargar la página, solo eso, no aporta seguridad alguna

2- el código del lado del cliente (html, js, css) siempre será visible (no lo puedes evitar), en cambio el del lado del servidor no, porque no puedes obtener el código de PHP ya que lo que se devuelve al cliente es la respuesta HTML, la única forma de obtenerlo es que violen tu clave del FTP

3- no todo acaba allí, si realmente quieres un sitio sólido no solo debes de validar en el servidor, sino aplicar protecciones contra ataques XSS y CSRF