Nun möchte ich den nachgeladenen Javascript Code mit PHP erzeugen - aber nur unter bestimmten Bedingungen. Es soll nur Code geliefert werden, wenn der Aufrufer entsprechend berechtigt ist.

Also Username und Passwort beim Request mitschicken.

Welche Möglichkeiten habe ich dafür? Bisher habe ich einen zweistufigen Prozess. Die erste Routine erzeugt Javascript, welches die im Browser geladene Seite (document.) überprüft und einen Wert (account) an eine zweite Routine übermittelt, welche dann nach einer Prüfung des Accounts den endgültigen Code liefert. Die Übergabe des Accountnamens erfolgt per search-Argument (HTTP GET).

Ich hoffe, du glaubst nicht daran, dass du irgendwelche Sicherheit produzierst.

Der Ausgangspunkt muss Javascript sein und die PHP-Routinen liegen in einer anderen Domain als die Browser-Seite mit dem Javascript.

Das ist tendentiell ungünstig, weil dich wahrscheinlich irgendwann einmal die Same-Origin-Policy kneift und dir lapidar meldet "Zugriff verweigert". Sorge immer dafür, dass Seite und Javascript von der gleichen Domain kommen, um das sicher zu vermeiden.

Mir steht PHP 4.1.0 zur Verfügung.

Sorge insbesondere dafür, dass hier von deinem Hoster mal ganz dringend ein Sicherheitsupdate gemacht wird. Die 4er-Serie von PHP ist derzeit bei Version 4.4.4 und hat eine ellenlange Liste von Sicherheitsproblemen gelöst, die nicht nur deine Applikation, sondern auch die Serversicherheit gefährden können.