Mam kod:

[PHP] pobierz, plaintext 
	<li> <a href="" title="" onclick="Load('#wczytaj', 'nauczyciele.php'); return false;">Nauczyciele</a></li>
[PHP] pobierz, plaintext 

Jest jakaś możliwość, że jakby się podglądało kod to nie byłoby widać 'nauczyciele.php'?
Przy okazji jak pisze na temat wczytywania plików to jak zabezpieczyć to, aby pierwsza lepsza osoba znający podstawy XSS itd. nie unlinkowała mi plików?

Tak, eventy przypisuj nie bezpośrednio do elementu w kodzie HTML a w zewnętrznym pliku skryptu dołączonym w nagłówku.

eeee..

Nie rozumiem za bardzo..
dać w miejscu 'nauczyciele.php', np. <?=$nauczyciele?>

Przed html

[PHP] pobierz, plaintext 
<? 
session_start();
ob_start();
require_once 'ustawienia.php';
?>
[PHP] pobierz, plaintext 

i w pliku 'ustawienia.php'

$nauczyciele = 'nauczyciele.php'?

Chociaż.. nie wiem jak to zrobić

Nie, poczytaj o tym:

http://ejohn.org/projects/flexible-javascript-events/
http://mynthon.net/articles/javascript/funkcje/addevent

Wiesz, jak dołącza się skrypty JS w nagłówku strony?

Nie mam pojęcia

W sekcji head dodajesz:

[HTML] pobierz, plaintext 
<script src="twojSkrypt.js"></script>
[HTML] pobierz, plaintext 

Tworzysz plik twojSkrypt.js a w nim umieszczasz kod JS, dzięki temu nie widać go w źródle strony.

a po wpisaniu... http:// twojastrana .pl/tajnySkryptZTajnaNazwaPliku.js

Jeżeli coś ma iść przez AJAX'a to nie ukryjesz adresu choćbyś nie wiem jak się starał

Co do XSS to nie ma nic wspólnego z linkowaniem czy jak ty to zgrabnie nazwałeś unlinkowaniem (nie mam pojęcia co to znaczy). O XSS jest masa artykułów rozejrzyj się po googlu a na pewno załapiesz o co chodzi