Hättest du eine Idee, wie ich beim Aufruf der zweiten Routine (/2.php?id=xxx) prüfen könnte, ob kurz zuvor vom gleichen Client die erste Routine (/1.php) aufgerufen wurde? Das wäre für _mich_ aktuell schon Sicherheit genug.

Was bringt dir das?

Wenn ich der "echte" Accountinhaber bin, passiert das automatisch. Und wenn ich der falsche Accountinhaber bin, ebenso - weil ich ja die richtigen Anmeldedaten des echten Accounts kenne.

Nein - es passiert nur beim korrekten Aufruf. Weil ja die 1.php den Accountnamen aus der Seite extrahiert und and die 2.php übergibt, die dann den Code liefert.

Der unberechtigte Nutzer müsste die 2.php direkt mit dem Accountnamen des berechtigten Nutzers aufrufen und hätte zuvor nicht die 1.php aufgerufen.

Wenn ich jetzt nochmals darüber nachdenke, kann der unberechtigte natürlich zuvor zum Schein zuvor auch die 1.php aufrufen - hmmm...

Gibt es denn keine Chance, den berechtigten Aufruf der 2.php vom unberechtigten zu unterscheiden? Mit HTTP POST wäre das einfacher, weil der Accountname nicht sichtbar wird, aber das geht nicht für das Nachladen von Javascript...

Ralf