Безопасно ли считывание xml файла?

Мой коллега, "программист", брызжа слюной пытается мне доказать, что небезопасно считывать со своего сайта и обратывать xml файл находящийся на другом своем сайте.
Оба сайта находятся на одном фтп аккаунте на одном хостинге.
Файл xml находится на сайте 1 в папке xml, а выводится информация из него на сайте 2.
Файл открыт только для чтения с правами 644
"программист" пишет мне:
Злоумышленники получат доступ к файлу и тебе могут тогда подсунуть скриптик который подставит твоих пользователей

Как он получит доступ к файлу, если у него нету доступа к фтп и админке сайта? В таком случае можно в любой js файл подсунуть скриптик. Он говорит, что решить эту проблему можно таким образом: xml файл переместить на тот сайт где и выводится информация.

Он прав? Я конечно извиняюсь за такой глупый вопрос, но мне нужно подтверждение веб программистов что он не прав.

Больше всего я ржал над этим:

решить эту проблему можно таким образом: xml файл переместить на тот сайт где и выводится информация.

Гоните своего "программиста". В вашем случае скрипты упаковки инфы в xml, а потом распарсивания из xml пишет сам программист. Если он при этом не предусматривает никаких мер защиты вроде htmlspecialchars() или подобных — грош цена такому "мастеру". Я написал подобный алгоритм еще несколько лет назад, он работает и до сих пор никаких проблем нет.

Прошу всех продублировать ответы на тостере, только там можно добиться для него правды.
toster.ru/q/418997