Ich will es mal so ausdrücken: Es sollte schwieriger sein, den Aufruf zu manipulieren, als den Code selbst zu entwickeln - dann wäre mein Ziel erreicht. Denn dann stünde der Aufwand in keinem Verhältnis zum Ergebnis.

Der Aufruf der Daten ist exakt EIN HTTP-Request:

http://deinserver/2.php?id=accountname

Und schon spuckt dein Server das Javascript aus.

Und dagegen gibt es keinen Schutz.