Am Ende jeglicher Logik steht genau 1 Request mit einer URL, die man abfangen und wiederholen kann. Oder noch passend manipulieren. Vollkommen ohne Analyse deines Codes.

Falsch. Ohne die Analyse würde der Aufruf der 2.php auch mit dem berechtigten Accountnamen nur den Code liefern - nicht aber die Umgebung bereitstellen, die dieser Code erwartet.

Und im Code sind die "geheimen" Informationen, die du nur dem richtigen User gegen Geld rausrücken willst, und können ggf. auch anderweitig passend "verarbeitet" werden. Javascript ist ja auch nur Text, den man parsen und zerpflücken kann.

Was könnte ich in dieser Umgebung mit PHP an Hindernissen aufbauen, war daher meine Frage ...

Und "Nichts" war unsere Antwort.

Wenn du nur die simple Rückgabe des Codes als Problem ansiehst, kann natürlich *deine* Antwort nicht anders lauten. Danach hatte ich aber auch nicht gefragt. Die Rückgabe des Codes soll eben nicht nur von der Übergabe des Accountnamens abhängen.

Wir drehen uns im Kreis. Und sowas wird auf Dauer langweilig. Ich klinke mich hier aus.