Ich will es mal so ausdrücken: Es sollte schwieriger sein, den Aufruf zu manipulieren, als den Code selbst zu entwickeln - dann wäre mein Ziel erreicht. Denn dann stünde der Aufwand in keinem Verhältnis zum Ergebnis.

Der Aufruf der Daten ist exakt EIN HTTP-Request:

http://deinserver/2.php?id=accountname

Und schon spuckt dein Server das Javascript aus.

Und dagegen gibt es keinen Schutz.

Natürlich nicht. Soweit war ich schon, bevor ich hier den Thread eröffnet habe und wissen wollte, was ich anders/besser machen kann - unter den gegebenen Voraussetzungen.

Vielleicht kann ich meine 2.php ja so gestalten, dass sie weitere Dinge überprüft? Danach habe ich gefragt.

Im Übrigen würde es dem unberechtigten Nutzer nichts bringen, nur die 2.php aufzurufen. Er müsste diesen Aufruf auch noch unter den Bedingungen ausführen, welche die 1.php vorbereitet (die liest nicht nur den Accountnamen aus).
Er müsste also die ganze Aufruflogik analysieren und entsprechend modifzieren.
Wenn der Aufwand dafür so groß ist, dass er in den Bereich kommt, wo er auch gleich den von mir angebotenenen Service programmieren könnte, habe ich mein Ziel schon erreicht. Mehr ist kaum drin.

Was könnte ich in dieser Umgebung mit PHP an Hindernissen aufbauen, war daher meine Frage ...

Ralf