Görür
İşlemi backgrounda zaten belirtiyorsunuz dosya yolu vs ulaştığı için biliyor
Yazdığınız hariç aşağıda <script></script> içerisine js komutlarını okuyabiliyor
Jquery ajax işlemlerini post ile yapmanızı öneririm
Çok gerekli değilse get her zaman güvenlik açığı oluşturur xss açıkları sql injektion açıkları
Verileri süzün mutlaka ve session kontrolü yapın
Eksik yada hatalı yaptığınız bir yer vardır.