если 2 сайта пытаются общаться с одним файлом, то логично его вынести за пределы public зон и там с ним работать. php отлично умеет работать в рамках своего рабочего каталога. Можно вообще все это завернуть в апи на третьем домене и отдавать json. Но сама идея когда один сайт обращается к другому опасна их связанностью, а не взломами.
