Bueno, tampoco soy un experto pero...

-Encriptar las claves en el cliente (javaScript) es una muy buena opción ya sea con SHA1 o MD5
-Usar SSL (https) brinda mayor seguridad ya que encripta la información
-Las peticiones AJAX que sean todas realizadas por el método POST
-también se puede oscurecer el servidor web
-usar urls amigables