Вообще разницы ни какой, с обработкой обычных форм можно сделать то-же самое, отправить всякую дичь на сервер, даже в синхронном режиме, серверный скрипт выполняет валидацию и отправляет результат операции в ответе. Если кто-то, "особо одаренный", что-то подправит в запросе, обработчик просто не пропустит запрос, выкидываем 404-ю ошибку, "кина не будет", всё.