Hallo,

Bspw. HTTP Auth oder Sessions.

Der Ausgangspunkt muss Javascript sein und die PHP-Routinen liegen in einer anderen Domain als die Browser-Seite mit dem Javascript.

Gut, dann sind Sessions eher ungünstig.

Und wie sollte ich mit HTTP Auth mehr erreichen, als ich jetzt schon habe?

Mir ist schon klar, dass ich keine besonders hohe Sicherheit erreichen kann, wenn der auszuführende Code auf den Client geschickt werden muss.

Vielleicht hole ich mal etwas weiter aus:

In der HTML-Seite mit Javascript wird ein neues SCRIPT Element erzeugt. Dessen Adresse ist http://meinedomain.de/1.php und liefert Javascript Code zurück, um aus der HTML-Seite einen Account-Namen zu extrahieren. Dieser Code erzeugt eine weiteres SCRIPT Element und ruft dieses mit http://meinedomain.de/2.php?id=accountname auf.
In der 2.php wird der Accountname geprüft und ggf. der Code geliefert, um die gewünschte Funktion auszuführen.

Nun könnte aber jemand diese Logik umgehen und mit dem Accountnamen "abc" den Aufruf 2.php?id=xyz machen, weil sein Account "abc" nicht authorisiert ist, er aber weiss, dass es für xyz ist.
Da die Accountinhaber abc und xyz sich ggf. kennen, würden auch weitere Informationen wie User/Password nichts bringen - das wäre doch HTTP Auth?

Bevor ich nun versuche, die DOM-Struktur der geladenen (und ggf. wieder gelöschten) Scripte zu prüfen, wollte ich wissen, ob ich aus PHP noch Möglichkeiten habe.

Da die Routinen 1.php und 2.php sehr schnell nacheinander aufgerufen werden - kann man da nicht was machen? Leider kann es durchaus sein, dass die beiden Aufrufe nicht von der gleichen IP ausgehen (z.B. AOL).

Ralf