Kan jQuery ajax (post) manipuleras som URL blir delvis "utfört" på server sidan?

Hej, har en liten säkerhetsfråga som jag inte vet om den stämmer eller inte.

Om jag har en button i html som utför en ajax request som t.ex. denna:

$.ajax({
    type      : 'POST',
    url       : 'ajax/settings.ajax.php',
    data      : postForm, // Data i json format
    dataType  : 'json'
});

När min server mottager informationen och den börjar gå igenom 'settings.ajax.php', finns det något sätt som användaren kan manipulera som mitt php script blir delvis utfört (executed) från webbläsaren?

Notera att jag förstår andra viktiga säkerhetsaspekter som att t.ex. inte läsa in javascript från andra ikke betrodda källor, och att allt även förutsätter att min kod i 'settings.ajax.php' är "felfri" (inga execution errors eller liknande)*

Samma fråga gäller också om form angående "action" om det kan på något sätt avbrytas från användarens sida?

Som sagt, man vill ju att scriptet ska göras fullt ut eller inte påbörjas.

Prövade att söka på Google men hittade inget uppenbart svar.

Tack på förhand.