Also Username und Passwort beim Request mitschicken.

Wenn ich einem Anwender solche Daten mitteile, könnten die an einen anderen unberechtigten Anwender weitergegeben werden. Als eindeutige Kennung hat die ausgehende HTML-Seite einen Accountnamen im Text. Ich bin nicht "Erzeuger" dieser Seite, kann aber den Anwender dazu bringen, dass er den Inhalt so erzeugen lässt, dass ein von mir vorgegebenes SCRIPT aufgerufen wird.

Ich hoffe, du glaubst nicht daran, dass du irgendwelche Sicherheit produzierst.

Absolut sicherlich nicht - aber ich will die Hürde möglichst hoch ansetzen.

Das ist tendentiell ungünstig, weil dich wahrscheinlich irgendwann einmal die Same-Origin-Policy kneift und dir lapidar meldet "Zugriff verweigert". Sorge immer dafür, dass Seite und Javascript von der gleichen Domain kommen, um das sicher zu vermeiden.

Wenn das Javascript von einer anderen Domain nachgeladen wird, erfolgt die Ausführung trotzdem in der gleichen Domain - ist also kein Problem. Ist auch hier nicht das Thema.

Sorge insbesondere dafür, dass hier von deinem Hoster mal ganz dringend ein Sicherheitsupdate gemacht wird. Die 4er-Serie von PHP ist derzeit bei Version 4.4.4 und hat eine ellenlange Liste von Sicherheitsproblemen gelöst, die nicht nur deine Applikation, sondern auch die Serversicherheit gefährden können.

Darauf dränge ich schon seit längerer Zeit. Das mit der Serversicherheit wäre vielleicht ein Argument ;)

Hättest du eine Idee, wie ich beim Aufruf der zweiten Routine (/2.php?id=xxx) prüfen könnte, ob kurz zuvor vom gleichen Client die erste Routine (/1.php) aufgerufen wurde? Das wäre für _mich_ aktuell schon Sicherheit genug.

Ralf