Hallo,
natürlich kann jeder, der möchte, die Anfragen in der Browser Konsole einsehen und kopieren. Dagegen kannst du auch meiner Meinung nach nicht viel machen.
Wenn die Abfragen via Ajax wirklich so sensibel sind, solltest du vielleicht einen Login bauen?
Du könntest im PHP Script abfragen, ob der User, der die Ajax anfrage stellt, eingeloggt ist, und dann dementsprechend reagieren.
Das würde den User natürlich nicht davon abhalten, die Ajax abfragen zu manipulieren, aber du hättest bessere Kontrolle, wer überhaupt an die Daten gelangt.