Hi,

Aber: Jetzt guckt sich jemand den JS-Quellcode an und sieht, wie das PHP-Skript aufgerufen wurde. Was hindert ihn nun, die Aufruf-Parameter abzuändern, um an andere Daten zu gelangen, die nicht für ihn bestimmt sind?

Das ist kein JS- oder AJAX-Problem.

Wenn die Daten auf herkömmlichem Wege (Link/Formular) abgerufen würden, wäre das Problem exakt das selbe.

Wie schützt man sich vor so etwas? Stell ich mir problematisch vor, da der JS-Quellcode ja nunmal unweigerlich "offen" liegt. Man muss sicher im serverseitigen Skript irgendeine Überprüfung einbauen - aber WIE?

Du benötigst irgendeine Art von Authentifizierung.
Bspw. über Sessions lässt sich sowas in PHP recht komfortabel und einfach realisieren.

MfG ChrisB