Даже если Вы и "не наследили на стороне клиента" - это абсолютно не избавляет Вас от проверок на стороне сервера, от написания как Вы говорите "маршрутизатора", т.к. рано или поздно все "секретные" названия функций, имен, классов, таблиц и т.д. хакеры узнают.
Распространенный подход: отправляйте в аджакс-запросе не осмыссленные названия функций типа "DeleteAllMayDocuments", а просто цифровой параметр 1...1000. В PHP ставите минимальную проверку:
$param = $_GET['param'];
settype($param,"integer");
if ($param == 0) exit;
// далее switch ($param) ... case ...
Это обезопасит от злостных вызовов...