ну как)) вот реально пофиг - какой пользователь))

я зашёл на его страницу - увидел его ID и Имя - всё в паблике
потом глянул что ты при его имени и ID в $random отправляешь.

всё. зачем мне $key То ? я срузу хешь вижу ты его сам для меня и соберёшь.

_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker

За что именно?

В $random имя не подставляется. Только открытый user_id и закрытый key
$key = "123456789";
$random = md5($user_id.$key);

Не зная key нельзя получить правильных хеш, который проверяется обработчиком.

И всё таки, как вот такой вариант?

     xmlhttp.onreadystatechange = function () {
            if ( xmlhttp.readyState == 4 ) {
               //тут ответ сервера  
 <? mysql_query ("UPDATE `my_table` SET `first_name` = '?>+first_name+<?' WHERE id = 'ID_АВТОРИЗОВАННОГО_ЮЗЕРА'"); ?>
            }
        }

да лан, зная имя и алгоритм - подобрать не составит труда.

_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker

Но пользователь не знает алгоритм.
Всё что он знает это свой id и готовых хеш.
И то только свой.
По другому его можно увидеть только прочитав исходный код php файла.
А при желании хеш можно формировать и так:

key = "4656922794595675264952641264";
$user_id = "1"; //например
$hash = md5((($user_id+$key)*$key.$user_id)/1.75);

Не зная алгоритма как можно вычислить хеш для юзера с id например: 214589 ?