Петр

если 2 сайта пытаются общаться с одним файлом, то логично его вынести за пределы public зон и там с ним работать. php отлично умеет работать в рамках своего рабочего каталога. Можно вообще все это завернуть в апи на третьем домене и отдавать json. Но сама идея когда один сайт обращается к другому опасна их связанностью, а не взломами.

Перемещение файла однозначно ничем не поможет. если получить доступ к 1 то можно и получить доступ ко 2. Тем более в этом случае разумнее будет внедрить код в содержимое исполняемых файлов, а не в xml.

Зависит от того где получается на клиенте / сервере, какие операции над файлом, но вообще следует всегда валидировать содержимое(не доверять источнику) приводить к типу, фильтровать на потенциальные xss. зависит от использования данные.