我们有一个具有很多提交数据形式的应用程序。表单大量使用带有JSON的AJAX，将信息发布到数据库。我担心恶意用户可能试图通过传递JSON结构化数据来调用我们的Ajax接口(interface)的事件。 php脚本不会区分我们自己的服务器调用它还是外部调用。从理论上讲，恶意用户无需访问我们的网站即可在我们的数据库中编写内容。这是一个有效的问题吗？如果是，是否有解决方法？

是的，这是一个有效的担忧。 OWASP具有一些您应该阅读的良好指导原则 here 。

我想强调一点
不应该依赖于客户端逻辑。