Rou1997

Не опаснее, чем обычные запросы, а наоборот безопаснее, так как проще организовать обработку разных ошибок и следить чтобы она везде присутствовала, во-вторых, "скиллов" потребуется чуть больше чтобы "раскопать" back-end AJAX.

Как защитится от мошенников, которые могут просто изменить данные которые передаются в php файл и изменить что-либо о пользователе (например, пароль)?

А вот не надо передавать ничего лишнего в PHP-файл, например у пользователя в личном кабинете есть форма смены пароля, и если там у вас JS будет помимо нового пароля передавать в PHPе еще и id текущего пользователя, то это действительно опасно если недоглядите за авторизацией, но это само по себе абсурдно, не нужно передавать id, на сервер и так при каждом запросе передаются кукисы, id сессии (те же кукисы), OAuth-токен, ЭЦП, сертификат или еще что-то, словом пакет имеет "подпись" ("credentials") которая сама по себе определяет текущего пользователя, в задачи сервера входит лишь ее проверка, как и при любом другом запросе.
Насчет авторизации, либо ищите статьи "авторизация REST API", либо берите сниффер и изучайте как сделано на существующих сайтах, смотрите сами какая методика вам ближе.

Его создает сервер (PHP и т.п.) из базы данных, базу данных редактируют через phpMyAdmin или "админку".

HTTP-заголовки смотрите, по ним и по JS определите, действительно ли браузер или все-таки 'raw HTTP", если первое, то защита на фронт-енде должна быть, если второе, то на бек-енде, суть защиты - вносить изменения, которые не способен обработать парсер, но, грубо говоря, если очень захотят, то хоть каждый день будут "чинить" своего бота, оставили бы вы их в покое.

Это бот, с целью защиты от фильтрации просто случайно генерирует имя, e-mail, телефон, а также часть текста в textarea, а домен реально существует, но сейчас там ничего нет, видимо домены тоже регистрируются автоматически.