Im Übrigen würde es dem unberechtigten Nutzer nichts bringen, nur die 2.php aufzurufen. Er müsste diesen Aufruf auch noch unter den Bedingungen ausführen, welche die 1.php vorbereitet (die liest nicht nur den Accountnamen aus).
Er müsste also die ganze Aufruflogik analysieren und entsprechend modifzieren.

Am Ende jeglicher Logik steht genau 1 Request mit einer URL, die man abfangen und wiederholen kann. Oder noch passend manipulieren. Vollkommen ohne Analyse deines Codes.

Was könnte ich in dieser Umgebung mit PHP an Hindernissen aufbauen, war daher meine Frage ...

Und "Nichts" war unsere Antwort.