Вы должны иметь возможность загружать все, что захотите, с помощью JQuery, так как вы будете загружать в сценарии PHP, и все они на стороне сервера.Теперь, если кто-то получит в свое распоряжение расположение ваших PHP-файлов, он может потенциально отправлять запросы POST на эти страницы, модифицирующие вашу базу данных, однако многие из этих страниц уже будут доступны из ваших форм.Вы можете предотвратить это, добавив методы защиты CSRF на свой сайт.
Любой каталог в вашем корневом веб-каталоге не является частным, поэтому важно в любом случае добавить эти защитные меры.
В общем, загрузкавсе, что вы хотите через JQuery.
Надеюсь, это поможет!