Cero de seguridad dependiendo lo que estés tratando de hacer...

Si lo que deseas es que un .php se ejecute si y solo si es llamado desde tu objeto XMLHttpRequest no creo que encuentres muchas alternativas. La única forma que tiene tu .php de saber si es llamado desde un método OPEN, es que dentro de los valores que envías haya alguno que le haga saber que es llamado por ese medio; y lógicamente, todo lo que escribas en tu JavaScript puede ser visualizado por un usuario (aunque ofusques, ocultes o codifiques), por lo que una alternativa así no resultaría eficaz durante mucho tiempo.
Con AJAX se pueden realizar aplicaciones muy seguras; todo depende de cómo estés diseñando tu aplicación. Si quieres puedes comentar lo que pretendes lograr y seguramente vayan surgiendo alternativas viables para construir tu aplicación.

Saludos.