Hallo,

Siehe Manual :-)

Mach ich. Mir fehlte nur der Ausgangspunkt.

In PHP ist die Datenbereitstellung im Script über das globale Array $_SESSION implementiert - man muss nur noch am Anfang jedes Scripts die Session über session_start() wieder aufnehmen.

Dann werde ich mich mal damit befassen.

Um die Übergabe der Session-ID kümmert sich PHP normalerweise selbstständig (im aktuellen Szenario, wie nur JS-Ressourcen in eine Fremdseite eingebunden wären, müsste man sich darum aber ggf. selber kümmern).

Wenn ich das richtig verstanden habe, müsste ich in der 1.php eine Session starten und in das erzeugte Javascript die ID packen, welche dann beim Aufruf der 2.php übergeben wird. Und hätte dann eine eindeutige Verbindung, ohne die die 2.php den Code nicht sendet (den natürlich ein berechtigter Benutzer mit den schon hinreichend diskutierten Methoden ohnehin bekommt).
Da der von der 1.php erzeugte Javascript-Code mit hinreichender Sicherheit den Accountnamen übermittelt bekommt, erfolgt der Aufruf der 2.php mit dem Accountnamen und der Session-ID. Die 2.php kann dann also feststellen, ob die Session-ID gültig ist und nur dann den Code senden (nachdem natürlich auch der Accountname geprüft wurde).

Wenn das so funktioniert, werde ich mal versuchen, das einzubauen.

Also sind der Verschlüsselungsagorithmus und auch der Key dem Client bekannt.

Natürlich - es wäre nur eine weitere Verschleierung.

Es reicht einer mit Programmiererfahrung, der deine Pseudo-Sicherheit durchschaut, und seinen "Hack" im WWW veröffentlicht. Dass ein "Markt" für sowas vorhanden ist, sieht man ja an den zahlreichen "Cracks & Serialz"-Seiten.

So etwas kann ich zwar nicht ausschließen, ist aber bei meiner Zielgruppe doch extrem unwahrscheinlich. Dafür ist sie auch viel zu klein.

Vielen Dank schon mal für dein Interesse und die Hilfen!

Ralf