Hallo,

Ruft man diese Url einfach so auf und man baut keinerlei zusätzliche "Sicherheiten" ein, so kann man mit einfachsten Hilfsmittel wie dem Browser alle User aus dem System sehen. Dann nur noch ein kleines Script und schwups hat man eine Export möglichkeit für jederman geschaffen. Da kann man ja fast gleich die MySQL zugangsdaten auf die Startseite stellen.

Aber dann gehört das doch in einen geschlossenen Bereich mit einem Login und entsprechenden User/Session-Handling. Die Ajax-Anfrage kann auch darauf geprüft werden, ob der User eingeloggt ist und ggf. die Auskunft verweigern.

Grüße
Siri