Cita: 1-) Seguridad: ¿No es mejor que los usuarios no conozcan los ficheros de proceso?
no se de que seguridad estas hablando, y tampoco entiendo la razon por la que el usuario no deberia conocer la ruta de procesamiento. y pregunto, ¿piensas tu que mediante ajax ese detalle no se conoce? por ajax tambien tienes que indicar la ruta de procesamiento, o sea, no estas haciendo ningun avance en cuanto a "seguridad".
Cita: 2-) ¿Cómo evito que al darle al intro se vaya a ejecutar el fichero? Esto me preocupa porque como ya dije suelo hacerlo con ajax.
se hace cancelando el evento onsubmit. simplemente escribes el atributo
onsubmit="return false;" o lo asignas por javascript
elemento_form.onsubmit = function(){return false;};. cuando el usuario haga submit, se cancela pero deberia procesarse por ajax. si javascript esta desactivado, no pasa nada, el formulario se envia normalmente.